Les virus mobiles passés au crible – Première Partie

  1. Les virus mobiles passés au crible – Première Partie
  2. Les virus mobiles passés au crible – Première Partie

En juin 2004, Kaspersky Lab recevait le premier exemple de virus pour téléphone mobile. Nous savons maintenant qu’il s’agissait du fruit du travail du célèbre groupe international d’auteurs de virus 29A et plus particulièrement, d’un de ces membres connu sous le pseudonyme de Vallez.

La boîte de Pandore avait été ouverte et à l’heure actuelle, les collections de virus des éditeurs de logiciels antivirus comptent des centaines de chevaux de Troie et de vers qui prennent les téléphones mobiles pour cible. Les programmes malveillants pour Symbian qui apparaissaient au compte-goutte en 2004 se manifestent maintenant dans un flux plus marqué qui ne va que se renforcer dans un avenir proche. Nous ajoutons chaque semaine à notre base antivirale environ dix chevaux de Troie dont le nom commence par le préfixe « SymbOS ».

Le plus désolant est que ce processus s’accompagne d’une épidémie réelle et grandissante de vers pour téléphones mobiles dont l’ampleur n’a pas encore pu être définie. Il y a un an seulement, nous apprenions que Cabir était découvert dans un pays ou une ville. Ensuite, les personnes dont le téléphone avait été infecté nous appelaient directement et nous devenions ainsi témoins de cas réel d’infection. Maintenant, de nombreux employés de Kaspersky Lab à Moscou ont été les victimes directes de tels vers.

L’ampleur de la diffusion des vers pour téléphones mobiles s’explique peut-être par des connaissances informatiques moins développées chez les utilisateurs de téléphones mobiles par comparaison aux utilisateurs d’Internet. D’un autre côté, même les utilisateurs expérimentés considèrent les virus pour appareils mobiles comme une menace lointaine.

Mais le fait est que les virus pour appareils mobiles ne vivent pas dans un univers parallèle. Ils sont déjà parmi nous et chaque fois que vous utilisez le métro, que vous allez au cinéma ou que vous vous rendez dans un aéroport international, votre téléphone est menacé.

Il reste encore beaucoup de chemin à parcourir en matière d’éducation des utilisateurs pour parvenir à un niveau de sensibilisation identique à celui applicable aux virus pour ordinateurs classiques.

Au commencement…

Le 14 juin 2004, l’Espagnol « Virus Buster », un célèbre collectionneur de virus entretenant des liens étroits avec certains auteurs de virus, envoya un message à l’adresse newvirus@kaspersky.com. Ce message contenait un fichier appelé caribe.sis. Nous ne savions pas encore de quoi il s’agissait. Une analyse rapide du fichier permit de conclure qu’il s’agissait d’une application pour le système d’exploitation Symbian et d’un compacteur-installateur contenant d’autres fichiers. En règle générale, les experts en virus travaillent avec des fichiers conçus pour les processeurs x86. Les fichiers de caribe.sis avaient été développés pour le processeur ARM utilisé dans divers appareils miniatures, y compris les téléphones mobiles. Nous ne connaissions pas le langage machine de ce processeur mais ce problème fut résolu en quelques heures par les spécialistes, ce qui mit à jour la véritable nature des fichiers : il s’agissait d’un ver pour téléphone mobile qui se propageait via Bluetooth. Nos conclusions furent confirmées le lendemain après avoir testé le vers sur un téléphone Nokia N-Gage tournant sous Symbian.

Le ver avait été créé par un individu connu sous le nom de Vallez. Selon les informations dont nous disposons, il serait établi en France et il faisait partie à ce moment du groupe d’auteurs de virus 29A. Ce groupe s’était fixé comme objectif la création de nouveaux virus conceptuels pour les systèmes d’exploitation et les applications hors standard Windows. Les membres du groupe souhaitaient prouver aux éditeurs de logiciels antivirus et aux autres auteurs de virus qu’il existait de nouvelles voies d’attaque. Cette fois-ci, l’objectif était la création d’un code malveillant pour téléphone intelligent. Le mode de propagation de ce ver était également hors du commun. Nous avons l’habitude de voir les vers se propager par courrier électronique et il était dès lors logique d’attendre un comportement similaire de la part de Cabir. D’autant plus qu’une des principales fonctions des téléphones intelligents est de pouvoir naviguer sur Internet et de relever le courrier électronique. Toutefois, l’auteur choisit un autre moyen : le protocole Bluetooth. Il s’agissait du deuxième élément clé de l’idée.

Le ver utilise le système d’exploitation Symbian en tant que milieu de fonctionnement. Ce système était et demeure le principal système d’exploitation pour les téléphones mobiles. Cette position dominante s’explique en grande partie par le fait que Symbian est utilisé dans les téléphones intelligents de Nokia. La combinaison Symbian+Nokia est devenu dans les faits la norme pour les téléphones intelligents et il est encore loin le jour où Windows Mobile parviendra à évincer Symbian du marché.

On observe une fois de plus une application du principe « d’émergence des virus informatiques ». L’apparition de codes malveillants pour un système d’exploitation ou une plate-forme quelconque est liée à trois facteurs :

  1. Popularité de la plate-forme Symbian OS était et demeure la plate-forme la plus populaire pour les téléphones intelligents. Le nombre d’utilisateurs dans le monde se chiffre en dizaines de millions.

    Propos de l’auteur de Cabir : “Symbian pourrait devenir un système d’exploitation largement répandu dans les téléphones mobiles à l’avenir. Il est déjà fort étendu maintenant et je pense qu’il pourrait l’être encore plus (M$ se bat également pour sa place sur ce marché).»

  2. Existence d’outils bien documentés pour le développement d’applications.

    Propos de l’auteur de Cabir: « Caribe a été programmé en c++. Symbian/nokia fournit un sdk complet pour développer des applications pour symbian. »

  3. Existence de vulnérabilités ou d’erreurs. Symbian contient quelques erreurs « by design » graves dans le système de manipulation des fichiers et des services. Elles n’ont pas été exploitées par Cabir mais elles le sont pleinement par la majorité des chevaux de Troie pour les téléphones intelligents.

Cabir a tout de suite attiré l’attention non seulement des éditeurs de logiciels antivirus mais également des autres auteurs de virus. Tous attendaient la publication du nouveau numéro du journal électronique du groupe 29A. C’est là que les codes sources du ver auraient dû être publiés selon la tradition. Une telle publication aurait entraîné l’apparition de nouvelles variantes plus dangereuses du ver. C’est ce qui se produit à chaque fois lors que de telles technologies tombent aux mains de « script kiddies ». Mais même sans les codes sources, les « petites frappes » peuvent accomplir beaucoup de choses.

Types et familles de virus pour téléphones mobiles

L’automne 2004 a vu l’émergence de trois orientations principales pour le développement de la virologie au cours des années suivantes. Parmi celles-ci, il y eut la création de chevaux de Troie qui devaient entraîner des pertes financières pour l’utilisateur infecté. Le premier d’entre eux fut le cheval de Troie Mosquit.a. Ce prétendu jeu inoffensif pour téléphone se diffusait par SMS envoyés aux contacts du carnet d’adresses. C’est ainsi que les auteurs voulaient en faire la publicité. Il ne s’agissait pas seulement du premier cheval de Troie pour téléphone intelligent, mais du premier logiciel publicitaire également.

Le cheval de Troie Skuller.a, apparu en novembre, fut le premier représentant de ce qui est devenu à l’heure actuelle une grande famille de chevaux de Troie pour téléphones mobiles. Il exploitait des erreurs de Symbian qui permettaient à n’importe quelle application d’écraser les fichiers systèmes avec ses propres fichiers sans demander l’autorisation de l’utilisateur. Le cheval de Troie remplaçait les icônes par une tête de mort en effaçant les fichiers au cours de route. Après le redémarrage, le téléphone cessait de fonctionner. Le principe du « cheval de Troie vandale » fut très populaire auprès des auteurs de virus.


Cheval de Troie Skuller.a

Trois variantes de Cabir firent leur apparition pratiquement en même temps que Skuller.a. Elles ne reposaient pas sur les codes sources du ver original. A l’époque Cabir était déjà tombé entre les mains d’auteurs de virus et certains d’entre eux avaient adopté le truc favori des « scripts kiddies » : ils s’étaient contentés de renommer les fichiers du virus et de remplacer le texte par le leur. Une de ces variantes contenait Skuller en plus du ver. Cet hybride n’avait aucun sens particulier : le ver ne pouvait pas se multiplier car le cheval de Troie mettait le téléphone hors service. Toutefois, il ne s’agissait pas du premier exemple d’utilisation de Cabir en tant que « porteur » d’autres programmes malveillants.

Au début 2005, les principaux types de virus pour téléphones mobiles avaient fait leur apparition et c’est précisément eux que les auteurs de virus se sont attachés à soutenir au cours des années suivantes :

  • Vers se diffusant via les protocoles et les services propres aux téléphones intelligents ;
  • Chevaux de Troie vandales qui exploitent les erreurs de Symbian pour s’installer dans le système ;
  • Chevaux de Troie visant à causer des pertes financières à l’utilisateur.

Ce nombre relativement restreint de comportements fondamentaux ne doit pas faire oublier la grande diversité des formes et des types de virus. A l’heure actuelle, Kaspersky Lab dénombre 31 familles de codes malveillants pour téléphones mobiles. Vous trouverez ci-après un tableau récapitulatif des traits principaux de ces familles.

Nom Date Système d’exploitation Fonction Bases technologiques
Bluetooth
Nombre de variantes
Worm.SymbOS.Cabir Juin 2004 Symbian Diffusion via Bluetooth Bluetooth 15
Virus.WinCE.Duts Juillet 2004 Windows CE Infection de fichiers (File API) 1
Backdoor.WinCE.Brador Août 2004 Windows CE Octroi d’un accès à distance via le réseau (Network API) 2
Trojan.SymbOS.Mosquit Août 2004 Symbian Diffusion de SMS SMS 1
Trojan.SymbOS.Skuller Novembre 2004 Symbian Remplacement des icônes, remplacement des applications système Vulnérabilité du système 31
Worm.SymbOS.Lasco Janvier 2005 Symbian Diffusion via Bluetooth, infection des fichiers Bluetooth, File API 1
Trojan.SymbOS.Locknut Février 2005 Symbian Installation d’applications corrompues Vulnérabilité du système 2
Trojan.SymbOS.Dampig Mars 2005 Symbian Remplacement des applications système Vulnérabilité du système 1
Worm.SymbOS.ComWar Mars 2005 Symbian Diffusion via Bluetooth et MMS, infection des fichiers Bluetooth, MMS, File API 7
Trojan.SymbOS.Drever Mars 2005 Symbian Remplacement des modules de chargement des antivirus Vulnérabilité du système 4
Trojan.SymbOS.Fontal Avril 2005 Symbian Remplacement des polices Vulnérabilité du système 8
Trojan.SymbOS.Hobble Avril 2005 Symbian Remplacement des applications système Vulnérabilité du système 1
Trojan.SymbOS.Appdisabler Mai 2005 Symbian Remplacement des applications système Vulnérabilité du système 6
Trojan.SymbOS.Doombot Juin 2005 Symbian Remplacement des applications système, installation de Comwar Vulnérabilité du système 17
Trojan.SymbOS.Blankfont Juillet 2005 Symbian Remplacement des polices Vulnérabilité du système 1
Trojan.SymbOS.Skudoo Août 2005 Symbian Installation d’applications corrompues, installation de Cabir, Skuller et Doombot Vulnérabilité du système 3
Trojan.SymbOS.Singlejump Août 2005 Symbian Désactivation des fonctions du système, remplacement des icônes Vulnérabilité du système 5
Trojan.SymbOS.Bootton Août 2005 Symbian Installation d’applications corrompues, installation de Cabir Vulnérabilité du système 2
Trojan.SymbOS.Cardtrap Septembre 2005 Symbian Suppression de fichiers antivirus, remplacement d’applications système, installation de malware Win32 sur la carte mémoire Vulnérabilité du système 26
Trojan.SymbOS.Cardblock Octobre 2005 Symbian Blocage du fonctionnement de la carte mémoire, suppression de répertoire Vulnérabilité du système, File API 1
Trojan.SymbOS.Pbstealer Novembre 2005 Symbian Vol d’informations Bluetooth, File API 5
Trojan-Dropper.SymbOS.Agent Décembre 2005 Symbian Installation d’autres codes malveillants Vulnérabilité du système 3
Trojan-SMS.J2ME.RedBrowser Février 2006 J2ME Diffusion de SMS Java, SMS 2
Worm.MSIL.Cxover Mars 2006 Windows Mobile/ .NET Suppression de fichiers, copie du corps du ver sur d’autres appareils File (API), NetWork (API) 1
Worm.SymbOS.StealWar Mars 2006 Symbian Vol d’informations, diffusion via Bluetooth et MMS Bluetooth, MMS, File (API) 5
Email-Worm.MSIL.Letum Mars 2006 Windows Mobile/ .NET Diffusion via courrier électronique Email, File (API) 3
Trojan-Spy.SymbOS.Flexispy Avril 2006 Symbian Vol d’informations 2
Trojan.SymbOS.Rommwar Avril 2006 Symbian Remplacement des applications système Vulnérabilité du système 4
Trojan.SymbOS.Arifat Avril 2006 Symbian 1
Trojan.SymbOS.Romride Juin 2006 Symbian Remplacement des applications système Vulnérabilité du système 8
Worm.SymbOS.Mobler.a Août 2006 Symbian Suppression de fichiers antivirus, remplacement d’applications système, multiplication via la carte mémoire Vulnérabilité du système 1
31 familles, 170 variantes
Liste complète des familles connues de virus pour téléphones mobiles selon le classement de Kaspersky Lab (au 30 août 2006).

Evolution du nombre de versions connues de virus mobiles

Evolution de la quantité de familles connues de virus mobiles

En généralisant au départ de ces données, nous pouvons répondre à la question « De quoi sont capables les virus pour téléphones mobiles?» :
:

  • Diffusion via Bluetooth, MMS
  • Envoi de SMS
  • Infection de fichiers
  • Administration à distance des téléphones intelligents
  • Modification ou remplacement des icônes, des applications système
  • Installation de polices ou d’applications « fausses » ou incorrectes
  • Lutte contre les logiciels antivirus
  • Installation d’autres codes malveillants
  • Blocage du fonctionnement de la carte mémoire
  • Vol d’informations

Il faut bien admettre que les virus pour téléphones mobiles peuvent faire pratiquement la même chose que les virus informatiques « traditionnels ». La différence est qu’il aurait fallu plus de 20 ans aux virus informatiques pour couvrir toutes ces fonctions. Les virus pour téléphones mobiles ont parcouru ce chemin en moins de deux ans. Nous sommes confronté à un secteur de codes malveillants dynamique au développement rapide et il est évident que ce secteur n’a pas encore atteint son pic.

Bases

L’existence d’un nombre restreint de programmes malveillants originaux, malgré une abondance de familles de codes malveillants pour téléphones mobiles, est un des principaux éléments qui différencient les virus pour téléphones mobiles des virus informatiques modernes. Nous pouvons établir une comparaison avec la situation qui régnait à la fin des années 1980 parmi les virus informatiques. Il existait à l’époque des centaines de virus qui reposaient sur quelques codes malveillants « de base » et qui découlaient de leurs codes sources. Vienna, Stoned et Jerusalem sont trois virus qui ont donné naissance à de nombreux autres.

S’agissant des virus pour téléphones mobiles, j’attribuerai la qualité d’« ancêtre » aux programmes suivants :

  • Cabir
  • Comwar
  • Skuller.gen

Cabir n’a pas seulement entraîné l’apparition de ces variantes qui se différencient uniquement par les noms des fichiers et la composition du fichier d’installation sis. Des familles telles que StealWar, Lasco et Pbstealer, qui à première vous n’ont pas grand chose en commun, repose sur ce ver.

Lasco

Lasco fut le premier d’entre eux et en plus des fonctions d’un ver, il est capable d’infecter les fichiers sur un téléphone. L’émergence de Lasco est un excellent exemple de ce qui se passe lorsque l’on publie les codes sources des virus. Un Brésilien dénommé Marcos Velasco se disant expert dans le domaine des virus pour téléphones mobiles, obtint le code source de Cabir et se mit à développer des virus. Au cours de la dernière semaine de l’année 2004, il envoya aux éditeurs de logiciels antivirus plusieurs reformulations de Cabir, inopérationnelles pour certaines. Les éditeurs de logiciels antivirus les classèrent toutes comme de nouvelles variantes de Cabir. Cette décision déplut à l’auteur qui, dans la recherche de la gloire, créa une version du ver capable également d’infecter les fichiers SIS. C’est ainsi que le ver Lasco fit son entrée dans les bases antivirus.

Heureusement, les auteurs de virus abandonnèrent l’idée d’infecter des fichiers, malgré le fait que Velasco avait publié les codes sources de son « œuvre » sur son propre site.

A ce jour, il est toujours impossible d’affirmer si Cabir a vraiment servi de base à Lasco. Marcos affirme qu’il a lui-même créé le code mais le nombre de fichiers, leur nom, leur taille et le principe de fonctionnement évoquent Cabir en de nombreux points. Vous pouvez décider pour vous-même en examinant une des fonctions principales des deux vers.

Fonction de diffusion via Bluetooth (Cabir) :

if(WithAddress)
{
        WithAddress = 0;
        Cancel();
        TBTSockAddr btaddr(entry().iAddr);
        TBTDevAddr devAddr;
        devAddr = btaddr.BTAddr();
        TObexBluetoothProtocolInfo obexBTProtoInfo;
        obexBTProtoInfo.iTransport.Copy(_L(« RFCOMM »));
        obexBTProtoInfo.iAddr.SetBTAddr(devAddr);
        obexBTProtoInfo.iAddr.SetPort(0x00000009);
        obexClient = CObexClient::NewL(obexBTProtoInfo);
        if(obexClient)
        {
                iState = 1;
                iStatus = KRequestPending;
                Cancel();
                obexClient->Connect(iStatus);
                SetActive();
        }
}
else
{
        iState = 3;
        User::After(1000000);
}
return 0;

Fonction de diffusion via Bluetooth (Lasco) :

if ( FoundCell )
{
        FoundCell = _NOT;
        Cancel();
        TBTSockAddr addr( entry().iAddr );
        TBTDevAddr btAddress;
        btAddress = addr.BTAddr();
        TObexBluetoothProtocolInfo obexProtocolInfo;
        obexProtocolInfo.iTransport.Copy( _L( « RFCOMM » ) );
        obexProtocolInfo.iAddr.SetBTAddr( btAddress );
        obexProtocolInfo.iAddr.SetPort( 9 );
        if ( ( iClient = CObexClient::NewL( obexProtocolInfo ) ) )
        {
                iStatus = KRequestPending;
                BluetoothStatus = _BLUETOOTH_NOT_CONNECTED;
                Cancel();
                iClient->Connect( iStatus );
                SetActive();
        }
}
else
{
        BluetoothStatus = _BLUETOOTH_CONNECTED;
}
}

Pbstealer

Voici un autre « descendant » de Cabir, à savoir le premier cheval de Troie Espion sous Symbian : Pbstealer. Probablement créé en Chine, ce cheval de Troie a été découvert sur un des sites coréens consacrés au jeu Legend of Mir. Ce mode de diffusion et le caractère criminel de ce cheval de Troie illustrent comment les « bonnes intentions » de l’auteur de Cabir ont été exploitées.

La fonction de diffusion des fichiers par Bluetooth a été empruntée à Cabir. Toutefois, les auteurs du cheval de Troie ont introduit une différence de taille dans le code source. Le cheval de Troie cherche dans le répertoire du téléphone et envoie les données de ce répertoire via Bluetooth au premier appareil trouvé. C’est de là que vient le nom Pbstealer (« Phonebook Stealer »). Jusqu’à présent, les individus mal intentionnés exploitaient des failles dans le protocoles Bluetooth (par exemple BlueSnarf) pour voler ce genre d’informations. Ce cheval de Troie allait considérablement élargir les possibilités offertes aux criminels.

Et bien évidemment, Cabir allait devenir le « porteur » favori de tous les chevaux de Troie imaginables. Plus de la moitié des vandales comme Skuller, Appdisabler, Locknuts, Cardtrap, etc. contiennent Cabir. Ce dernier est modifié afin de diffuser non seulement sa copie mais également celle du cheval de Troie. Le comportement et le caractère hybride de ces programmes malveillants compliquent la tâche de classement des programmes malveillants. Nous en parlerons ci-dessous.

Comwar

Comwar est la deuxième voie suivie dans le développement de codes malveillants pour téléphones mobiles. Il s’agit du premier ver capable de se propager via MMS. A l’instar de Cabir, il est capable de se diffuser via Bluetooth mais MMS demeure son mode de propagation favori et si l’on tient compte de la portée de ce mode, il s’agit peut-être d’un des plus dangereux.

Le protocole Bluetooth a une portée de 10 à 15 mètres, ce qui signifie que seuls les appareils situés dans ce rayon risquent d’être infectés. MMS ne connaît pas de limites et ces messages peuvent être diffusés instantanément vers des téléphones d’autres pays.

L’auteur de Cabir avait envisagé cette option mais il l’avait abandonnée au profit de Bluetooth pour des raisons évidentes (du point de vue de 29A) :

«mms: Its easy to route over the agent searching phone numbers and sending them a mms message with the worm attached, but we have two problems:

-We dont know what type of phone are we sending the mms. We dont know if that phone is able to receive mms message or if it could execute the worm.

-We are spending the money of the phone.»

Le deuxième point est révélateur : il indique que l’auteur de Cabir ne voulait pas entraîner de pertes financières quelconques pour les utilisateurs. Une telle considération n’a jamais effleuré l’esprit de l’auteur de Comwar.

La diffusion via MMS est une technologie attrayante pour les auteurs de virus pour téléphones mobiles. Pour l’instant, nous sommes toujours face aux astuces habituelles sur le ver d’origine. De prétendus pirates informatiques se contentent de modifier le nom des fichiers et le texte sans modifier la fonction de Comwar. Cela s’explique par le fait que le code source de Comwar n’a pas été publié et la procédure d’envoi de MMS infecté n’est pas maîtrisée par les scripts kiddies.

Nous avons recensé à ce jour 7 variantes du vers, dont 4 de l’auteur.

Comwar.a:

CommWarrior v1.0b (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Comwar.b:

CommWarrior v1.0 (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Comwar.c:

CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it
in it’s original unmodified form.
With best regards from Russia.

Comwar.d:

Ne contient pas de textes différents. Les textes du MMS ont été remplacés par un texte en espagnol.

Comwar.e:

WarriorLand v1.0A (c) 2006 by Leslie

Texte en espagnol également.

Comwar.f:

Ne contient pas de textes différents. Les textes du MMS ont été remplacés par un texte en espagnol.

Comwar.g:

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

De plus dans la variante .g, l’auteur a introduit pour la première fois la possibilité d’infecter des fichiers. Le ver recherche sur le téléphone d’autres fichiers SIS et s’y copie. Il est ainsi capable de se propager par un canal supplémentaire, en plus de MMS et de Bluetooth.

Notons que Comwar n’a pas encore engendré beaucoup de familles et cela, parce que les codes sources ne sont pas accessibles. Il sert à « transporter » d’autres chevaux de Troie, tout comme Cabir. StealWar est peut-être le seul de tous les codes malveillants utilisant Comwar qui peut prétendre au titre de parent d’une famille indépendante. Il s’agit d’un ver qui regroupe Cabir, Comwar et Pbstealer. Il est plus dangereux et peut plus facilement se multiplier.

Ceci étant dit, le principe de la diffusion via MMS va devenir le principal mode de propagation des virus pour téléphones mobiles. D’autant plus qu’une vulnérabilité critique au niveau du traitement des MMS dans Windows Mobile 2003 a été identifiée. Elle entraîne un débordement de la mémoire tampon et l’exécution d’un code aléatoire. Collin Mulliner a annoncé cette nouvelle en août de cette année lors de la conférence DefCon.


Démonstration du fonctionnement de la vulnérabilité dans MMS (Collin Mulliner, Advanced Attacks Against PocketPC Phones).

Les détails de cette vulnérabilité ne seront pas rendus publics avant que Microsoft ne diffuse une mise à jour, mais le danger demeure. Un ver capable de s’exécuter sans intervention de l’utilisateur dès qu’il arrive dans un téléphone intelligent pourrait déclencher une véritable épidémie internationale.

S’agissant des apports de Comwar aux virus pour téléphones mobiles, il faut signaler l’application (dans la variante .c) d’une technologie de dissimulation de l’activité. Le ver se dissimule dans la liste des processus et n’apparaît pas dans la liste standard des applications ouvertes. En effet, il définit son processus comme un processus « système ». Bien évidemment, cette ruse ne résiste pas à l’utilisation d’autres programmes permettant de consulter la liste des processus en cours. D’autres codes malveillants pour Symbian utilisent un mode similaire de dissimulation.

Skuller

Comme nous l’avons déjà signalé, Skuller constitue la plus grande famille de chevaux de Troie pour téléphones mobiles. On comptait 31 variantes au premier septembre 2006. Ce n’est pas surprenant car il s’agit d’un des codes malveillants pour Symbian les plus primitifs. N’importe quel individu capable d’utiliser un utilitaire pour la création de fichiers SIS peut produire un tel cheval de Troie. Les vulnérabilités de Symbian s’occupent du reste : possibilité d’écraser n’importe quel fichier, y compris les fichiers système et instabilité du système lors de la rencontre de fichiers inattendus (fichiers inhabituels pour cette distribution ou fichiers corrompus).

Deux fichiers sont à la base de la majorité des variantes de Skuller. Nous les avons baptisés Skuller.gen et ils possèdent des caractéristiques qui différencient cette famille des familles aux fonctions similaires (par exemple Doombot ou Skudoo) :

  • le fichier portant le nom de l’application remplacée avec l’extension « aif » de 1601 octets. C’est une icône représentant une tête de mort. Le fichier contient également le texte «↑Skulls↑Skulls» ;
  • le fichier portant le nom de l’application remplacée avec l’extension « aif » de 1601 octets. C’est une icône représentant une tête de mort. Le fichier contient également le texte «↑Skulls↑Skulls» ;

La problématique de la classification

Un des principaux problèmes auquel la virologie pour appareils mobiles est confrontée est celui de la classification. Par classification, il faut entendre l’attribution au nouveau virus d’une classe qui reflète son type et son comportement. Cette opération s’accompagne de nombreuses difficultés car, comme nous l’avons déjà signalé, les virus pour appareils mobiles se caractérisent par leur goût très prononcé pour les croisements. C’est ce qu’on appelle l’hybridation.

La classification utilisée par Kaspersky Lab possède une structure claire :

  • Verdict du comportement. Cet élément répond aux questions « Qui est-ce ? » et « Qu’est-ce qu’il fait ? ».
    Exemples : Email-Worm, Trojan-Downloader, Trojan-Dropper.

  • Le milieu indispensable au fonctionnement. Il peut s’agir d’un système d’exploitation ou d’une application concrète.
    Exemples: Win32, MSWord, Linux, VBS.

  • Nom de la famille et lettre désignant la version.

Ce dernier point ne pose pratiquement pas de problème. Chaque code malveillant possède son propre nom unique. Le seul problème réside au niveau du choix du nom, mais nous en reparlerons plu tard.

Certaines difficultés peuvent surgir lors de la définition du milieu d’existence du virus pour appareils mobiles. Dans la majorité des cas, nous sommes confrontés à des programmes développés pour système d’exploitation Symbian et nous nous utilisons alors le préfixe SymbOS. Mais de plus en plus souvent, les utilisateurs ont besoin d’informations précises : ce code malveillant fonctionne-t-il uniquement sous Symbian Series 60 SE ou est-il opérationnel également sous Series 80 ? Peut-être fonctionne-t-il seulement sous Series 80 ? Et qu’en est-il de Series 90 ? Pour Windows, nous avons introduit les distinctions suivantes dans la classification : Win16, Win9x, Win32. Il n’est pas exclu qu’à l’avenir nous devions trouver un chiffre à ajouter au préfixe SymbOS.

Ce problème est le moins compliqué en ce qui concerne le deuxième point. Si nous nous penchons sur l’autre plate-forme pour appareils mobiles, à savoir Windows, nous nous trouvons face à une situation nettement plus confuse.
Nous possédons des virus qui ont été écrits pour Windows CE 2003. C’est pour ces virus que nous avons introduit le préfixe WinCE dans notre classification. Toutefois, les codes malveillants développés pour Windows Mobile 5.0 ne peuvent pas fonctionner sur l’ancienne plate-forme. Et le nom Windows CE ne peut pas vraiment être utilisé en tant que synonyme de Windows Mobile ou Pocket PC, même s’il s’agit de différentes versions de la plate-forme Windows CE. Chacune d’entre elles utilise sa sélection de composants Windows CE en plus d’une sélection de particularités et d’applications propres.

Nous ne pouvons donc pas représenter dans la classification actuelle le nom exact de la plate-forme indispensable au fonctionnement d’un virus particulier. Qui plus est, de nombreux virus ne peuvent fonctionner qu’en présence de l’extension .NET pour WinCE/Windows Mobile. Pour ceux là, nous utilisons le préfixe standard MSIL qui n’indique pas du tout que ce virus est un virus pour appareils mobiles.

Vous êtes déjà perdu ? Ces problèmes sont loin d’être les plus compliqués en matière de classification. Voici l’élément plus confus : l’attribution d’un type/d’un comportement particulier au virus. Les difficultés dans ce cas sont liées à l’hybridation ou l’apparition de codes malveillants multiplateformes pour appareils mobiles et aux différentes classifications adoptées par les éditeurs de logiciels antivirus.

Voici quelques exemples.

Les experts antivirus de Kaspersky Lab se retrouvent de temps à autres en présence d’un certain fichier SIS (qui est une archive-fichier d’installation) qui contient divers fichiers : le ver Cabir, le ver ComWar, le cheval de Troie PbStealer, quelques fichiers Skuller.gen, quelques fichiers « vides » (taille nulle) caractéristiques du cheval de Troie Locknut et il installe en plus sur la carte de mémoire du téléphone un code malveillant Win32 (comme le font les chevaux de Troie Cardtrap).

Sur la base de la classification en vigueur, nous devrions traiter ce fichier comme un Trojan-Dropper. Mais nous ne pouvons pas agir ainsi ! Une fois installé, Cabir ne va pas se propager par Bluetooth, par contre, il va diffuser ce fichier SIS. Faut-il donc le considérer comme un ver ? Et comme le baptisera-t-on ? Cabir? Non, on ne peut pas l’appeler Cabir et lui associer une lettre de nouvelle version car le contenu de ce fichier SIS n’a rien en commun à 90% avec Cabir et de plus, cela engendrerait la confusion de l’utilisateur.

On pourrait penser à Skuller, à Locknut ou à Cardtrap mais aucun de ces noms ne serait exact et correct car il s’agit d’un hybride. Ce fichier serait considéré comme un cheval de Troie et le nom de la famille dépendrait des chevaux de Troie similaires présents dans notre collection sur la base de signes secondaires, par exemple les indices évidents d’un même auteur.
De telles difficultés en matière de classification sont rares dans le milieu des virus informatiques mais elles affluent dans le cadre de la classification de virus pour appareils mobiles.

Il est possible que la réduction du nombre de chevaux de Troie vandales s’accompagne d’une raréfaction des cas identiques à notre exemple et le monde des virus pour appareils mobiles deviendra plus clair et plus structuré.

Exemple nœ 2. Un ver fonctionnant sous Win32. Une fois lancé sur l’ordinateur personnel, ce ver, parmi toutes ses fonctions, crée un fichier SIS sur le disque E: (en règle générale, les téléphones tournant sous Symbian sont montés sur l’ordinateur en tant que disque E:). Le fichier SIS contient quelques fichiers vides qu’il utilise pour écraser diverses applications système du téléphone. Le fichier contient également le ver Win32 qui se copie sur la carte mémoire du téléphone, augmenté du fichier autorun.inf.

Si un téléphone infecté de la sorte est connecté à l’ordinateur et que l’on tente d’accéder à la carte mémoire, le ver est exécuté automatiquement et l’ordinateur est infecté.

Il s’agit d’un exemple de virus interplateforme capable de fonctionner dans deux systèmes d’exploitation totalement différents : Windows et Symbian. Ce ver existe déjà et s’appelle Mobler. Comment le classer ?

Nous avons introduit le préfixe « multi » pour les virus multiplateforme. Worm.Multi.Mobler? Mais comment l’utilisateur peut-il savoir en voyant ce nom que ce ver représente un danger pour les téléphones intelligents Symbian ? Nous pensons qu’il faut le scinder entre ses deux composants : le fichier win32 est ainsi classé en tant que Worm.Win32.Mobler tandis que le fichier SIS est classé sous Worm.SymbOS.Mobler. Le problème vient du fait que les autres éditeurs de logiciels antivirus ne classent pas le fichier SIS comme Mobler, ni comme un ver.

Il l’appelle Trojan.SymbOS.Cardtrap car, selon leur méthodologie de classement, n’importe quel programme malveillant qui installe des programmes malveillants Win32 sur la carte mémoire du téléphone appartient à la catégorie Cardtrap. Mais il n’installe pas un cheval de Troie auxiliaire. Il installe son composant principal, sa propre copie mais sur un autre système d’exploitation. Toutefois la rigidité des classifications en vigueur chez les éditeurs de logiciels antivirus nous obligent à tenter de ranger dans cette case tous les cas inhabituels similaires. Tout le monde est perdant en fin de compte, aussi bien les utilisateurs que les éditeurs de logiciels antivirus.

Si l’on tient compte des modes de diffusion et des comportements radicalement différents des virus pour téléphones mobiles par rapport à tout ce que nous avons connu jusqu’à présent, il faut absolument créer une nouvelle classe pour représenter toutes ses particularités. Par exemple, Cabir (ainsi que n’importe quel ver qui se propage via Bluetooth) peut être logiquement dénommé Bluetooth-Worm (cette catégorie s’appliquerait également au ver Inqtana pour MacOS). Les vers qui se diffusent via MMS seraient des MMS-Worm. Mais que faire si le ver peut se propager à la fois via Bluetooth et via MMS ? Quel est le mode de propagation principal entre les deux ? Kaspersky Lab pourrait décider qu’il s’agit de MMS, tandis que d’autres éditeurs de logiciels antivirus pourraient supposer qu’il s’agit de Bluetooth.

Un cheval de Troie qui envoie des SMS depuis le téléphone infecté vers un numéro payant serait un Trojan-SMS. Mais le cheval de Troie capable d’intercepter tous les SMS envoyés et reçus et de les envoyer à l’individu mal intentionné serait-il un Trojan-Spy ou un Trojan-SMS également ? Quelle est la description qui sera la plus compréhensible pour l’utilisateur et qui indiquerait le mieux le risque d’infection ?

Je pourrais vous donner des dizaines de questions et d’exemples similaires…

Les éditeurs de logiciels antivirus devront tôt ou tard se pencher sur la création d’une classification unique pour les virus pour appareils mobiles. Une action en ce sens doit être prise le plus rapidement possible tant que la situation n’est pas critique et avant toute confusion semblable à la confusion qui règne dans la dénomination des mêmes virus selon différents éditeurs de logiciels antivirus. Malheureusement, l’absence de classification commune pour les virus informatiques (satisfaisante pour tout le monde) n’est pas bon signe.

A suivre…

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *