Les virus mobiles en 2006

  1. Evolution des programmes malveillants en 2006
  2. Programmes malveillants pour UNIX et systèmes d’exploitation apparentés
  3. Les virus mobiles en 2006
  4. Bilan des Attaques Internet 2006
  5. Courrier indésirable en 2006

Bilan de l’année 2006 :

Plusieurs évènements ont marqués l’année 2006 et il est probable qu’ils aient déterminé l’axe de développement pour les années à venir :

  1. Création de chevaux de Troie commerciaux pour Symbian
  2. Les e-criminels maîtrisent des techniques pour soustraire de l’argent depuis les abonnements des utilisateurs mobiles
  3. Pour la première fois, les téléphones mobiles lambda sont la proie d’infection à l’instar des smartphones

Evolution en chiffres

Automne 2005 – les experts de Kaspersky Lab prévoyaient une envolée de virus identiques et dépourvus d’innovations technologiques. Ces virus devaient rapporter à leurs auteurs un gain financier via la large utilisation de téléphones mobiles pour les opérations de paiements électroniques. En revanche, depuis deux ans aucune menace d’épidémie mondiale de virus mobiles n’a été enregistrée.

Voici les chiffres concernant les virus mobiles pour 2006 (selon la classification de Kaspersky Lab) :

  • Nombre connu de famille de virus mobiles : 22 familles
  • Nombre connu de variantes et modifications des familles données : 106 variantes
  • Nombre connu de plateformes/systèmes d’exploitation (attaqués) : 2 (Symbian et WinCE)

2006 a démarré avec une croissance remarquée des programmes malicieux pour appareils mobiles. Entre février et avril, 43 variantes différentes de virus mobiles ont déferlé. Au pic de leur activité, les auteurs de virus « délivraient » aux sociétés d’antivirus environ 10 variantes en l’espace d’une semaine. Les hackers asiatiques comptent parmi les plus actifs. Leurs travaux se distinguent par une diversité des plateformes utilisées ainsi que par une expansion dans des domaines encore assez inexplorés des technologies mobiles.

Il semblait alors que ce rythme intensif allait être soutenu et conduire à une production quasi-industrielle comparable au niveau de production de certains virus informatiques. Toutefois, au deuxième trimestre 2006 la croissance du nombre de nouveaux échantillons a brusquement chuté.

Jusqu’à fin 2006, cette tendance à la baisse s’est affirmée tombant à un indice de 2 à 7 nouvelles variantes de familles existantes par mois. Parallèlement à ce chiffre, les auteurs de virus mobiles actifs ont visiblement diminué. A l’heure actuelle, la plus grande partie des nouveaux malwares mobiles sont le fruit d’une ou deux personnes dans le monde. En outre, ces programmes malicieux ne se caractérisent pas par une technologie de haut niveau et appartiennent à la classe des primitifs Trojans overwriters (Trojans de réécriture).


Evolution du nombre de variantes des virus mobiles en 2006
Source : Kaspersky Lab

Statistiques pour la fin 2006 :

  • Nombre connu de familles de virus mobiles : 35 (+13), augmentation de 37%;
  • Nombre connu de variantes et modifications : 186 (+80), augmentation de 45%;
  • Plateformes/systèmes d’exploitation connus : 4 (+2, J2ME et MSIL).

Nouvelles technologies mobiles

Vol d’informations

Nous en sommes arrivés à un point où des Trojans espions commerciaux sont créés spécialement pour Symbian. En avril dernier, le premier espion multifonctionnel vendu par ses auteurs sur le site Web pour 50 dollars US, était détecté. Du nom de Flexispy, ce programme malicieux prend le contrôle total du smartphone et envoie au cyber malfaiteur des informations sur les appels effectués et les SMS envoyés. En septembre 2006, un deuxième programme similaire faisait son apparition – l’espion Acallno, qui collecte et envoie sur un numéro donné, tous les SMS envoyés et reçus sur le téléphone infecté.

Vol d’argent

Les auteurs de virus ont mis au point une seule méthode pour dérober de l’argent auprès des utilisateurs. Cette technologie a été développée par des hackers inconnus russes qui par deux fois (en février et septembre) ont utilisé une fonction de télécommunications mobiles comme les numéros surtaxés. En février ils ont diffusé le Trojan RedBrowser qui se faisait passé pour un utilitaire d’accès à Internet via les SMS, alors qu’en réalité il envoyait des SMS à différents numéros surtaxés. A la suite de quoi, à chaque SMS envoyé depuis le téléphone infecté, l’abonnement mobile de l’utilisateur était débité de 5 dollars. Le trojan suivant similaire était Wesber détecté en septembre 2006.

Méthodes de propagation

Les virus mobiles antérieures étaient différents dans le sens où ils étaient pourvus de méthodes de propagation différentes des virus de PC c’est à dire par Bluetooth et MMS. Toutefois, la plateforme de programmation .NET de WinCE, leur a offert une nouvelle voie quoique traditionnelle – le courrier électronique. Le ver Letum a le même comportement que des milliers vers de courrier d’ordinateurs ordinaires : lorsqu’il atteint un téléphone, il s’envoie à toutes les adresses de courrier électronique trouvées dans la liste de contacts du téléphone infecté. En outre, Letum peut être considéré comme un virus multiplateforme du fait qu’il soit capable de fonctionner sur les ordinateurs via .NET.

Les virus multiplateformes

Le virus Cxover s’apparente au premier programme malicieux multiplateforme. A son lancement, il identifie le système d’exploitation et, lancé sur un PC, cherche les appareils mobiles accessibles via ActiveSync. Puis, toujours via ActiveSync, le virus se copie sur l’appareil détecté. Lancé sur un téléphone (ou un PDA) le virus tente de mettre en action la procédure inverse – se copier sur le PC. De plus, il a la faculté de supprimer les fichiers utilisateurs de l’appareil mobile.

Le ver Mobler agit quelque peu différemment. Lancé sur un ordinateur personnel (Win-32), il crée sur le disque E un fichier sis. Le fichier SIS contient quelques fichiers vides et il utilise ces derniers pour réécrire une série d’applications systèmes du téléphone. De même que le fichier sis contient un ver Win-32 qui se copie sur la carte mémoire du téléphone et s’ajoute au fichier autorun.inf.

Lorsque l’utilisateur connecte ce téléphone infecté à un ordinateur et tente de se connecter à la carte mémoire du téléphone, le ver est automatiquement exécuté et l’ordinateurcontaminé.

Il s’agit d’un exemple de virus multiplateforme capable de fonctionner sur des systèmes d’exploitation radicalement différents – Windows et Symbian.

Nouvelles plateformes

Jusqu’en 2006, de toutes les plateformes mobiles, les attaques de virus se dirigeaient exclusivement vers les plateformes suivantes : Symbian et WinCE. L’arrivée en février 2006 du Trojan RedBrowser s’est avérée être une mauvaise surprise. Pour la première fois, un téléphone ordinaire (non smartphone) était la cible d’infection, via la plateforme J2ME pour l’exécution d’applications données.

L’infection par programmes malicieux de pratiquement n’importe quels téléphones mobiles semblait récemment encore, impossible. Il s’agit désormais d’une réalité. L’apparition de chevaux de Troie pour J2ME est un évènement non moins important que l’apparition du premier ver pour smartphone en juin 2004. Il est encore difficile d’évaluer toutes les menaces potentielles toutefois le fait que la part des téléphones ordinaires dépasse de loin la part des smartphones, et le fait qu’ils puissent être contaminés, nous force à examiner d’éventuelles solutions antivirale pour cette classe d’appareils.

Au printemps dernier, la première backdoor conceptuelle était identifiée pour les BlackBerry. Cette première était développée en langage Java, aussi nous ne pouvons la classer d’emblée comme un virus pour une nouvelle plateforme.

Sur 13 nouvelles familles détectées par Kaspersky Lab en 2006, 7 présentaient des nouveautés technologiques, y compris pour deux nouvelles plateformes.

Innovation Famille Date de détection OS Fonctionnalité
+ Trojan-SMS.J2ME.RedBrowser fév.06 J2ME Envoi de SMS
+ Worm.MSIL.Cxover mar.06 Windows Mobile / .NET Suppression de fichiers, copie son corps sur d’autres appareils
Worm.SymbOS.StealWar mar.06 Symbian Vol d’informations, propagation par BlueTooth et MMS
+ Email-Worm.MSIL.Letum mar.06 Windows Mobile / .NET Propagation par courrier électronique
+ Trojan-Spy.SymbOS.Flexispy avr.06 Symbian Vol d’informations
Trojan.SymbOS.Rommwar avr.06 Symbian Substitution d’applications système
Trojan.SymbOS.Arifat avr.06 Symbian
Trojan.SymbOS.Romride juin.06 Symbian Substitution d’applications système
+ Worm.SymbOS.Mobler.a aou.06 Symbian Suppression de fichiers antivirus, substitution d’applications système, multiplication par la carte mémoire
+ Trojan-SMS.J2ME.Wesber sept.06 J2ME Diffusion de SMS
+ Trojan-Spy.SymbOS.Acallno sept.06 Symbian Vo d’informations
Trojan.SymboS.Flerprox oct.06 Symbian Substitution de chargeurs système
not-a-virus:Tool.SymbOS.Hidmenu oct.06 Symbian Applications

Nouvelles familles de virus mobiles – 2006
Source : Kaspersky Lab

Situation actuelle (janvier 2007)

A l’heure actuelle, les vers mobiles Cabir et ComWar représentent la menace principale pour les utilisateurs, ces derniers étant présents dans une trentaine de pays. Toutefois ils ne sont pas orientés vers le vol de données mais provoquent des dégâts financiers à l’utilisateur indirectement (ComWar se diffuse via MMS et l’abonnement mobile de l’utilisateur est débité à chaque SMS). Pour l’heure, les auteurs de virus mobiles n’ont pas encore trouvé d’avantages directs à leur création de malware. Les Trojans, envoyant des SMS sur des numéros payants peuvent être considérés comme un « bout d’essai ». Quant aux données conservées sur le téléphone, elles ne sont pas d’un grand intérêt pour la plupart des cyber-criminels contrairement à celles conservées sur l’ordinateur.

La situation actuelle dans le secteur des virus dédiés aux mobiles rappelle une fois de plus le calme avant la tempête. D’un point de vue technologique, toutes les possibilités ont été exploitées par les auteurs de virus. Toutes les plateformes mobiles populaires sont vulnérables aux attaques virales. Le spectre de comportements et la fonctionnalité des vers connus, des Trojans et des virus répètent ce qui existe déjà dans le monde.

Alors que les auteurs de virus mobiles mettent au point à peine quelques chevaux de Troie peu complexes, certains script-kiddies font preuve du plus grand dynamisme, ce qui peut éventuellement entraîner une énième vague de nouvelles variantes de familles déjà connues (comparable à celle observée en décembre 2005 et au printemps 2006). Cependant, un des facteurs déterminants de développement des virus mobiles pour les mois à venir restera la part occupée par les smartphones sur le marché et les possibilités d’escroqueries financières à l’aide des téléphones mobiles.

Pronostics

Il est peu probable qu’en 2007, le danger augmente de manière significative pour les utilisateurs. Les virus mobiles n’en sont pas encore au stade de propagation « industrielle » et ca ne risque pas d’arriver dans les prochaines années à venir.

La menace pour les utilisateurs de téléphones mobiles va grandir proportionnellement à la courbe de popularité des téléphones « intelligents » (smartphones). Avec le temps, il ne fait aucun doute que leur nombre atteindra les centaines de millions de par le monde. Quant à l’apparition de nouvelles fonctions, ces dernières feront en sorte que les utilisateurs utiliseront leurs smartphones de la même manière qu’ils utilisent leurs PC. Cela va immanquablement attirer l’attention des cybers-criminels et entraînera la croissance des chevaux de Troie pour téléphones.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *