Virologie mobile 2015

Contenu

Chiffres de l’année

L’année 2015 aura été marquée par la détection de :

  • 2 961 727 paquets d’installation malveillants ;
  • 884 774 nouveaux malwares pour appareils nomades, soit 3 fois plus que l’année dernière ;
  • 7 030 Trojans bancaires pour appareils nomades

Tendances de l’année

  • Augmentation du nombre de malwares que l’utilisateur ne parvient pas à éliminer lui-même.
  • Utilisation répandue par les malwares de fenêtres de phishing recouvrant les fenêtres d’applications légitimes.
  • Augmentation du nombre de représentants de la catégorie RansomWare.
  • Utilisation des autorisations de super-utilisateur pour procéder à un affichage invasif de publicités.
  • Augmentation du nombre de malwares pour iOS.

Principales méthodes de rentabilisation

L’évolution des malwares pour appareils nomades va dans le sens de la rentabilisation : les individus malintentionnés développent leur code malveillant dans le but d’obtenir de l’argent des victimes.

Vol dans les comptes en banque des utilisateurs

Les trojans pour appareils nomades qui visent les comptes en banque des utilisateurs poursuivent leur évolution. Sur l’ensemble de l’année 2015, nous avons découvert 7 030 nouveaux trojans bancaires pour appareils nomades. Certains malwares pour appareils nomades coopèrent avec des trojans pour Windows et interceptent les mots de passe mTAN (mot de passe à usage unique employé dans le cadre de l’authentification à deux facteurs) qui servent à autoriser les transactions bancaires. Bon nombre de malwares pour appareils nomades utilisés pour ce genre d’activité agissent en solo.

Certains malwares recouvrent la fenêtre de l’application légitime de la banque par une fenêtre de phishing, copie parfaite de cette application. Les exemples les plus marquants de ce genre de malwares sont le trojan Trojan-SMS.AndroidOS.OpFake.cc et les représentants de la famille Trojan-Banker.AndroidOS.Acecard. Une des modifications de OpFake.cc est capable de supplanter l’interface de plus d’une centaine d’applications bancaires et financières légitimes. De son côté, la famille de malwares bancaires Acecard masque plus de 30 applications bancaires et qui plus est, ses membres sont en mesure de masquer l’interface de n’importe quelle application sur instruction du serveur de commande.

Au deuxième trimestre 2015, nous avons publié un article sur Trojan-Spy.AndroidOS.SmsThief.fc, un code malveillant qui avait été inséré dans une application bancaire légitime, sans aucun impact sur le fonctionnement de celle-ci. Par conséquent, l’utilisateur pouvait difficilement détecter lui-même la présence du malware.

Les auteurs de malwares pour appareils nomades axés sur le vol d’argent adoptent des démarches toujours plus complexes : le stade des trojans bancaires spécialisés qui visaient des applications bancaires a été dépassé.

En guise d’exemple de ces nouvelles techniques, nous pouvons citer Trojan-SMS.AndroidOS.FakeInst.ep. Ce malware présente à l’utilisateur un message prétendument envoyé par Google et qui indique que le destinataire doit ouvrir Google Wallet et saisir les données de sa carte bancaire, prétextant la mise en œuvre de mesures de lutte contre la cybercriminalité). Cette fenêtre se ferme uniquement lorsque l’utilisateur a saisi les données en question.

Virologie mobile 2015

Une fois que l’utilisateur saisit ses données, celles-ci sont transmises aux individus malintentionnés et la fenêtre se ferme. Le trojan quant à lui continue de voler des informations et transmet à ses opérateurs des informations complémentaires sur le smartphone et son propriétaire.

Le ralentissement de la hausse du nombre de trojans bancaires spécialisés a lieu alors que le nombre global d’applications capables de voler de l’argent aux utilisateurs augmente. Et les trojans bancaires deviennent de plus en plus rusés et universels. Ils sont souvent capables d’attaquer les clients de dizaines de banques réparties dans le monde entier. Autrement dit, les individus malintentionnés n’ont pas besoin de plusieurs fichiers pour attaquer les clients de différentes banques.

Ransomware

Par rapport à 2014, le nombre de familles de trojans de la catégorie Trojan-Ransom que nous avons détecté a pratiquement doublé en 2015. Le nombre de modifications identifiées au cours de la même période est 3,5 fois plus élevé. Cela signifie que certains individus malintentionnés ont décidé de voler de l’argent aux utilisateurs à l’aide de trojans de cette catégorie tandis que ceux qui avaient déjà adopté cette pratique produisent de nouvelles versions. Le nombre d’utilisateurs attaqués est un autre indicateur important qui témoigne de l’actualité de cette catégorie de menace : sur l’année 2015, cet indice est devenu 5 fois plus élevé.

Dans la majorité des cas, les trojans de cette catégorie bloquent l’appareil en prétendant que l’utilisateur a réalisé des actions illégales et exigent le versement d’une rançon pouvant aller de 12 à 100 dollars pour débloquer l’appareil infecté. Un appareil bloqué de la sorte devient inutilisable : la seule fenêtre que l’utilisateur peut voir est celle qui exige le paiement de la rançon. Certains trojans sont même capables de masquer les dialogues système comme ceux relatifs à la déconnexion du téléphone.

mobile_vir_2015_fr_2

Fenêtre ouverte par le trojan Fusob

Vers la fin de l’année, nous avons découvert quelques trojans de type Trojan-Downloader dont la fonction principale consistait à télécharger le trojan d’escroquerie Trojan-Ransom.AndroidOS.Pletor. Ces Trojan-Downloaders se distinguaient par leur capacité à exploiter des vulnérabilités du système en vue d’obtenir les autorisations de super-utilisateur sur l’appareil et de pouvoir ainsi installer le Trojan-Ransom dans le dossier système. Il sera ensuite pratiquement impossible de supprimer le trojan installé.

Envoi de SMS à des numéros surtaxés et abonnements payants

Les trojans SMS constituent une menace qui reste d’actualité, surtout en Russie. Ces programmes envoient des SMS payants depuis l’appareil infecté à l’insu de son propriétaire. Bien que leur part dans le flux général de menaces pour appareils nomades continue de diminuer, leur nombre absolu demeure impressionnant.

Certains trojans SMS ne se contentent pas d’envoyer des SMS à des numéros surtaxés, mais abonnent l’utilisateur à des services payants. Tout au long de l’année 2015, nous avons suivi le développement de Trojan-SMS.AndroidOS.Podec, un des trojans les plus prisés par les individus malintentionnés. La fonction de ce malware est assez inhabituelle. Ce trojan gagne de l’argent via des abonnements payants. Il est capable de déjouer la saisie de code Captcha et dans ses dernières versions, il a abandonné la possibilité d’envoyer des SMS car ses auteurs se sont concentrés sur les abonnements.

Publicité agressive

Nous avons observé en 2015 une augmentation du nombre de malwares qui gagnent de l’argent principalement via la publicité. La tendance de l’année aura été les trojans qui
exploitent les autorisations du niveau super-utilisateur
. Alors qu’au premier trimestre, le classement des malwares pour appareils nomades les plus utilisés ne contenait qu’un seul trojan de cette catégorie, la situation a été bouleversée dans le Top 20 global de l’année 2015 où cette catégorie occupait plus de la moitié des positions. Bien que ces trojans visent uniquement à télécharger et à installer des logiciels publicitaires à l’insu de l’utilisateur, ils peuvent poser de gros problèmes. Une fois installés, ils tentent de débrider l’appareil et d’installer leurs composants dans le système afin qu’ils soient plus difficiles à neutraliser. Certains d’entre eux résistent même à la réinitialisation générale de l’appareil. Leur présence sur l’appareil entraîne l’affichage d’un grand volume de publicités invasives. Ils installent également les applications les plus diverses à l’insu de l’utilisateur, dont des malwares. Il y a eu des cas où des programmes de ce genre ont été diffusés via les progiciels officiels pour les applications, voire préinstallés sur de nouveaux téléphones.

Malwares dans les magasins officiels

Au début de l’année 2015, nous avons réussi à débusquer plusieurs trojans dans le magasin d’applications officiel Google Play Store. Ces malwares volaient les mots de passe des utilisateurs du réseau social russe VKontakte. Il s’agissait de Trojan-PSW.AndroidOS.MyVk.a et de Trojan-PSW.AndroidOS.Vkezo.a. Environ un mois plus tard, nous avons détecté une nouvelle modification du trojan Vkezo, propagé lui aussi via Google Play Store. Des individus malintentionnés ont publié avec ténacité ces trojans dans le magasin officiel d’applications : ils ont ainsi été propagés pendant plusieurs mois à dix reprises sous différents noms. De nombreuses versions de ces trojans ont été téléchargées entre 100 000 et 500 000 fois. Trojan-Downloader.AndroidOS.Leech est un autre trojan qui a été détecté dans le Google Play Store. Il a été téléchargé entre 100 000 et 500 000 fois.

Malwares pour iOS

Le nombre de malwares pour iOS découvert en 2015 est 2,1 fois plus élevé qu’en 2014.

L’apparition récente de malwares dans l’App Store a démontré une fois de plus que contrairement à l’opinion généralisée, le système d’exploitation iOS est vulnérable aux malwares. Les individus malintentionnés n’ont pas compromis l’App Store mais ils ont placés sur Internet une copie malveillante de Xcode, la suite logicielle proposée gratuitement par Apple aux développeurs d’applications iOS.

Xcode est diffusé officiellement par Apple mais il existe également des sources non officielles. Ainsi, certains développeurs chinois préfèrent télécharger de tels outils de développement depuis des serveurs locaux. Quelqu’un a visiblement chargé sur un serveur chinois une version de Xcode contenant le code malveillant XcodeGhost. Ce code malveillant était ensuite intégré à n’importe quelle application compilée à l’aide de la version compromise de Xcode.

Des dizaines d’applications ont été infectées par XcodeGhost. Au début, le nombre d’applications infectées qui avaient échappé aux procédures de contrôle d’Apple et s’étaient retrouvées dans l’App Store avait été estimé à 39. La plus répandue d’entre elles est WeChat, un client de messagerie gratuit qui a été téléchargé par plus de 700 millions d’utilisateurs. Apple a supprimé les applications infectées. Ceci étant, la version compromise de Xcode a circulé pendant près de six mois, ce qui signifie que le nombre total d’applications infectées est potentiellement beaucoup plus élevé, ne serait-ce que parce que le code source de XcodeGhost a été publié sur Github.

Un malware pour iPhone baptisé Trojan.IphoneOS.FakeTimer.a a été découvert au début du mois de juin. Ce trojan, qui vise les habitants du Japon, peut être installé sur n’importe quel iPhone car les individus malintentionnés ont signé ce trojan à l’aide d’un certificat d’entreprise. Ce malware vole de l’argent via la technique du phishing. Signalons qu’il existe une version de ce malware pour Android depuis plusieurs années déjà : Trojan.AndroidOS.FakeTimer.a.

Statistiques

La hausse sensible du nombre de malwares pour appareils nomades s’est maintenue en 2015. Entre 2004 et 2013, nous avions détecté près de 200 000 exemplaires de codes malveillants pour appareils nomades. En 2014, 295 539 nouveaux malwares pour appareils nomades avaient fait leur apparition. Mais en 2015, ce chiffre a atteint 884 774 exemplaires. Ces chiffres ne représentent qu’une partie de la réalité car pour chaque exemplaire de malware, il faut compter plusieurs paquets d’installation : en 2015, nous avons recensés 2 961 727 paquets d’installation malveillants.

Sur l’ensemble de la période allant du début du mois janvier 2015 à la fin du mois de décembre 2015, Kaspersky Lab a déjoué près de 17 millions d’attaques de malwares pour appareils nomades et a protégé 2 634 967 utilisateurs uniques d’appareils Android.

Virologie mobile 2015

Nombre d’attaques déjouées par les produits de Kaspersky Lab

Virologie mobile 2015

Nombre d’utilisateurs protégés par les produits de Kaspersky Lab

Répartition géographique des menaces pour appareils nomades

Des attaques de malwares pour appareils nomades ont été enregistrées dans plus de 200 pays et territoires.

Virologie mobile 2015

Répartition géographique des menaces pour appareils nomades (nombre d’utilisateurs attaqués, 2015)

Le nombre d’attaques recensées dépend en grande partie du nombre d’utilisateurs dans le pays. Pour pouvoir évaluer le danger d’infection par des malwares pour appareils nomades dans différents pays, nous avons calculé le pourcentage d’utilisateurs de nos produits qui a été confronté à des malwares en 2015.

Top 10 des pays par pourcentage d’utilisateurs attaqués par des malwares pour appareils nomades :

Pays % d’utilisateurs attaqués*
1 Chine 37
2 Nigeria 37
3 Syrie 26
4 Malaisie 24
5 Côte d’Ivoire 23
6 Viet Nam 22
7 Iran 21
8 Russie 21
9 Indonésie 19
10 Ukraine 19

* Nous avons exclu du classement les pays où le nombre d’utilisateurs actifs du logiciel antivirus pour appareils nomades de Kaspersky Lab n’a pas dépassé 25 000 au cours de la période couverte par le rapport).
** Pourcentage d’utilisateurs uniques attaqués dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils nomades de Kaspersky Lab dans le pays.

La Chine et le Nigeria, où 37% des utilisateurs de notre produit ont été exposés à des attaques au moins une fois au cours de l’année, occupent la tête de notre classement. La majorité des attaques menées contre les utilisateurs au Nigeria est l’œuvre de trojans publicitaires qui exploitent les autorisations de super-utilisateur, comme les trojans des familles Ztrorg, Leech, Rootnik, etc. ainsi que de logiciels publicitaires (AdWare).

En Chine, une grande partie des attaques est imputable aux trojans publicitaires. Mais la majorité des utilisateurs est confrontée à RiskTool.AndroidOS.SMSreg. L’utilisation inattentive de ces applications peut déboucher sur des retraits d’argent du compte mobile.

Types de malwares pour appareils nomades

Au cours de la période couverte par le rapport, le nombre de nouveaux fichiers dans les catégories AdWare et RiskTool a sensiblement augmenté. Par conséquent, leur part dans la répartition des menaces pour appareils nomades par catégorie a également enregistré une progression notoire, de 19,6 et 18,4 % à 41,4 et 27,4 % respectivement.

Virologie mobile 2015

Répartition des nouvelles menaces pour appareils nomades par type
en 2014 et 2015

La propagation des logiciels publicitaires (AdWare) repose sur des méthodes très élémentaires pour attirer l’attention de l’utilisateur sur la publicité : les développeurs créent des applications qui reprennent l’icône et le nom d’un jeu très répandu ou d’une application utile. Le fait est que le nombre de jeux populaires et d’applications propres est très élevé, ce qui permet de créer un très grand nombre de fausses applications qui afficheront des publicités. Plus l’utilisation de ces faux s’intensifie, plus la quantité d’argent gagnée via les clics augmente. Une autre méthode de propagation des représentants de la catégorie AdWare est l’intégration d’un module publicitaire dans une application saine. Ceci peut être le résultat d’une décision de l’auteur de l’application en personne ou d’une personne qui souhaite profiter financièrement de la popularité de l’application : lorsque le module publicitaire est ajouté à l’insu du développeur de l’application hôte, les revenus publicitaires reviennent non pas à l’auteur de l’application mais bien à celui qui a ajouté la publicité. A la différence des faux, ce genre d’application complexe compte une fonction utile.

L’augmentation du nombre de programmes de la catégorie AdWare s’explique par la concurrence toujours plus forte entre les développeurs. Les applications légitimes qui utilisent différents modules publicitaires sont souvent trop agressives. De plus en plus souvent, ces modules publicitaires inondent l’appareil de l’utilisateur de publicités et ils téléchargent et installent diverses applications nouvelles. Il arrive que la présence de programmes de type AdWare sur un appareil rende l’utilisation de ce dernier pratiquement impossible car l’utilisateur passe la majeure partie de son temps à lutter contre les fenêtres de publicité.

Les programmes de type RiskTool sont très utilisés en Chine. Le fait est que dans ce pays, le paiement de contenu par SMS est très répandu. C’est la raison pour laquelle le moindre jeu qui permet de réaliser des achats depuis le jeu (par exemple, pour obtenir de nouveaux niveaux) contient un module de paiement via SMS. Dans la majorité des cas, l’utilisateur est prévenu des risques potentiels liés à ces paiements, mais nous estimons toutefois qu’il est de notre devoir d’informer également nos utilisateurs sur ces risques. Etant donné que les jeux représentent un contenu assez recherché, le nombre de programmes de cette famille est élevé et sa croissance est continue. Les programmes de la famille RiskTool.AndroidOS.SMSReg ont figuré parmi les principaux contributeurs à l’augmentation du nombre de fichiers de type RiskTool.

S’il est vrai que les programmes de type AdWare et RiskTool ne nuisent pas directement à l’utilisateur, ces publicités invasives peuvent être source d’énervement tandis que les programmes de type RiskTool installés sur les appareils nomades peuvent entraîner des pertes financières en cas d’utilisation distraite et peuvent être exploités par des individus malintentionnés.

La part de Trojan-SMS dans le flux général des menaces pour appareils nomades est passé de 20,5 à 8,7 %, soit 2,4 fois moins. Toutefois, le nombre de nouveaux fichiers Trojan-SMS découverts en 2015 a été légèrement supérieur à celui de 2014. L’activité des malwares de ce type a enregistré une chute subite au milieu de l’année 2014. Cette chute s’explique par la mise en œuvre du système AоС (Advice-of-Charge) chez les opérateurs de téléphonie mobile russes, ce qui a entraîné une réduction du nombre de partenariats qui diffusaient les représentants de Trojan-SMS vu que la majorité des trojans de ce type visait la Russie.

Top 20 des malwares pour appareils nomades

Le classement des malwares fourni ci-dessous ne reprend pas les applications potentiellement indésirables comme RiskTool et les logiciels publicitaires (AdWare).

Nom % de l’ensemble des utilisateurs attaqués*
1 DangerousObject.Multi.Generic 44,2
2 Trojan-SMS.AndroidOS.Podec.a 11,2
3 Trojan-Downloader.AndroidOS.Leech.a 8,0
4 Trojan.AndroidOS.Ztorg.a 7,6
5 Trojan.AndroidOS.Rootnik.d 6,9
6 Exploit.AndroidOS.Lotoor.be 6,1
7 Trojan-SMS.AndroidOS.OpFake.a 5,6
8 Trojan-Spy.AndroidOS.Agent.el 4,0
9 Trojan.AndroidOS.Guerrilla.a 3,7
10 Trojan.AndroidOS.Mobtes.b 3,6
11 Trojan-Dropper.AndroidOS.Gorpo.a 3,6
12 Trojan.AndroidOS.Rootnik.a 3,5
13 Trojan.AndroidOS.Fadeb.a 3,2
14 Trojan.AndroidOS.Ztorg.pac 2,8
15 Backdoor.AndroidOS.Obad.f 2,7
16 Backdoor.AndroidOS.Ztorg.c 2,2
17 Exploit.AndroidOS.Lotoor.a 2,2
18 Backdoor.AndroidOS.Ztorg.a 2,0
19 Trojan-Ransom.AndroidOS.Small.o 1,9
20 Trojan.AndroidOS.Guerrilla.b 1,8

* Pourcentage d’utilisateurs attaqués par ce malware sur l’ensemble des utilisateurs attaqués.

Le verdict DangerousObject.Multi.Generic occupe la 1re position (44,2%). Il est attribué aux malwares détectés à l’aide des technologies dans le Cloud. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais l’éditeur de logiciels antivirus dispose déjà dans le  » nuage  » d’informations relatives à l’objet. En général, c’est ainsi que sont détectés les programmes malveillants les plus récents.

Trojan-SMS.AndroidOS.Stealer.a, qui occupait la tête du Top 20 en 2014, figure en 28e position seulement en 2015.

4 positions du Top 20 reviennent à des trojans qui gagnent de l’argent en vidant le compte de téléphonie mobile de la victime ou en volant de l’argent sur son compte en banque. Il s’agit de Trojan-SMS.AndroidOS.Podec.a, Trojan-SMS.AndroidOS.OpFake.a, Trojan.AndroidOS.Mobtes.b et Backdoor.AndroidOS.Obad.f. Trojan-SMS.AndroidOS.Podec.a occupait la 2e position du classement (11,2%). Ce trojan a figuré dans le Top 3 des menaces pour appareils nomades tout au long de l’année 2015. Pour rappel, les dernières versions de ce trojan n’envoient plus de SMS payants. Désormais, ce malware abonne la victime à des services payants grâce à sa fonction de reconnaissance des codes CAPTCHA. Trojan-SMS.AndroidOS.OpFake.a (5,6 %), en 7e position, est un habitué des classements. Il occupait la 8e position dans le classement de l’année dernière et il n’a jamais quitté le Top 20 tout au long de l’année 2015.

Il y a un autre trojan (Trojan-Ransom.AndroidOS.Small.o, 1,9 %) qui bloque le téléphone de sa victime et exige le versement d’une rançon pour le déblocage. Ce Trojan-Ransom pour appareil nomade le plus souvent rencontré à la fin de l’année 2015 est le seul malware d’escroquerie qui est entré dans le Top 20. Il a fait son entrée pour la première fois en 11e position dans le classement au 3e trimestre 2015. A la fin de l’année, il s’est retrouvé en 19e position. Ce trojan se propage principalement sous les traits d’un lecteur de vidéos pornographiques et vise un public russophone.

Plus de la moitié des positions (12 sur 20) sont occupées par des trojans qui gagnent de l’argent par le biais d’une publicité agressive. Il s’agit de Trojan-Downloader.AndroidOS.Leech.a, Trojan-Spy.AndroidOS.Agent.el, Trojan-Dropper.AndroidOS.Gorpo.a, Trojan.AndroidOS.Fadeb.a, deux modifications de Trojan.AndroidOS.Guerrilla, Trojan.AndroidOS.Rootnik, Trojan.AndroidOS.Ztorg et Backdoor.AndroidOS.Ztorg. A la différence des modules publicitaires traditionnels, ces programmes ne possèdent aucune fonction utile. Leur but consiste simplement à envoyer à l’utilisateur le plus de publicités possibles via différentes méthodes, dont l’installation de nouveaux logiciels publicitaires. Ces trojans peuvent exploiter des autorisations de super-utilisateur pour se dissimuler dans le dossier système d’où il sera très difficile de les déloger. Ce genre de trojans, comme cela avait déjà été le cas, se rencontre principalement en Chine. Nous avons observé une véritable explosion de ces programmes pour cette année : dans la majorité des cas, il s’agit de trojans qui visent les utilisateurs chinois et qui ont connu une propagation massive dans le monde entier. Le code des trojans contient souvent le mot « oversea ».

Deux places du classement reviennent à des modifications d’Exploit.AndroidOS.Lotoor. Ces codes d’exploitation sont utilisés pour obtenir les autorisations locales de super-utilisateur.

Trojans bancaires pour appareils nomades

Au cours de la période couverte par le rapport, nous avons détecté 7 030 malwares bancaires pour appareils nomades, soit 2,6 fois moins qu’en 2014, année où nous avions découvert 16 586 trojans bancaires pour appareils nomades entre janvier et décembre. Signalons que même si le nombre de nouveaux trojans bancaires pour appareils nomades détectés est inférieur à celui de 2014, ces programmes sont devenus plus audacieux et plus « méchants ». Leurs auteurs, quant à eux, s’intéressent aux banques de très nombreux pays. Bon nombre de trojans bancaires pour appareils nomades fonctionnent en solo, sans composants sur un ordinateur, et visent les clients de dizaines de banques à travers le monde.

Virologie mobile 2015

Nombre de Trojans bancaires pour appareils nomades dans la collection de Kaspersky Lab (2015)

56 194 utilisateurs ont été attaqués au moins une fois par des Trojan-Bankers pour appareils nomades.

Répartition géographique des malwares bancaires pour appareils nomades

Le nombre de pays attaqués augmente : des attaques menées par des trojans bancaires pour appareils nomades ont été enregistrées dans 137 pays et territoires. En 2014, 90 pays s’étaient retrouvés dans ce cas.

Virologie mobile 2015

Répartition géographique des menaces bancaires pour appareils nomades
(nombre d’utilisateurs attaqués, 2015)

Top 10 des pays par nombre d’utilisateurs attaqués (par des trojans bancaires)

Pays Nombre d’utilisateurs attaqués
1 Russie 45690
2 Allemagne 1532
3 Ukraine 1206
4 États-Unis 967
5 Kazakhstan 804
6 Australie 614
7 Corée, République de 527
8 France 404
9 Biélorussie 380
10 Pologne 324

A l’instar de l’année dernière, la Russie occupe la tête du classement. Le Top 10 2015 enregistre de nouvelles entrées : la République de Corée, l’Australie, la France et la Pologne. La Lituanie, l’Azerbaïdjan, la Bulgarie et l’Ouzbékistan quittent quant à eux le Top 10.

La popularité des trojans bancaires parmi les individus malintentionnés peut être évaluée sur la base du pourcentage d’utilisateurs attaqués par des malwares bancaires pour appareils nomades par rapport à l’ensemble des utilisateurs victimes de malwares pour appareils nomade.

Top 10 des pays par part des utilisateurs victimes de trojans bancaires pour appareils nomades sur l’ensemble des utilisateurs attaqués

Pays % de l’ensemble des utilisateurs attaqués*
1 Corée, République de 13,8
2 Australie 8,9
3 Russie 5,1
4 Autriche 3,0
5 Biélorussie 1,9
6 États-Unis 1,8
7 Tadjikistan 1,7
8 Ukraine 1,6
9 France 1,6
10 Ouzbékistan 1,6

* Pourcentage d’utilisateurs attaqués par des trojans bancaires sur l’ensemble des utilisateurs d’applications pour appareils nomades de Kaspersky Lab attaqués.

Une partie importante des attaques réalisées par des malwares bancaires pour appareils nomades en Corée est imputable aux trojans de la famille Trojan-Banker.AndroidOS.Wroba. Ces trojans cherchent à voler les comptes des applications bancaires pour appareils nomades des plus grandes banques coréennes et les codes mTan.

Tandis qu’en Australie, le classement des tentatives d’infection est mené par la famille Trojan-Banker.AndroidOS.Acecard. Cette famille constitue une nouvelle étape dans le développement de Backdoor.AndroidOS.Torec.a, le premier trojan pour Android à utiliser TOR et que nous avions détecté au début de l’année 2014. Les premières versions bancaires de ce malware remontent au milieu de l’année 2014. A l’époque, ce malware se propageait principalement en Russie et ce n’est qu’en 2015 qu’il a commencé à se diffuser activement en Australie. Une des modifications de ce trojan que nous avons découverte, en novembre 2015, est capable de masquer l’interface de 24 applications bancaires par des fenêtres de phishing. Cinq applications concernaient des banques australiennes, quatre banques de Hong Kong, d’Autriche et de Nouvelle-Zélande, trois applications de banques d’Allemagne et de Singapour et une, de PayPal. Il existe également des modifications qui visent des banques américaines et russes.

Virologie mobile 2015

Fenêtres de phishing du trojan Acecard

La fonction de vol d’identifiants et de mots de passe à l’aide d’une fenêtre de phishing qui se superpose à la fenêtre de l’application d’origine n’a rien de neuf. Nous avions déjà observé cette pratique en 2013 dans le trojan Trojan-SMS.AndroidOS.Svpeng. Dans notre rapport consacré au premier trimestre 2015, nous évoquions le trojan Trojan-SMS.AndroidOS.OpFake.cc qui était capable d’attaquer au moins 29 applications bancaires et financières. Dans la version la plus récente de ce trojan, ce nombre est désormais égal à 114 applications. Son objectif principal est le vol du nom d’utilisateur et du mot de passe d’accès aux comptes en banque. Il masque également l’interface de quelques applications de messagerie électronique.

En Russie, 3e place de ce classement, les malwares les plus souvent utilisés par les individus malintentionnés ont été Trojan-Banker.AndroidOS.Faketoken et Trojan-Banker.AndroidOS.Marcher. Depuis avril, nous avons observé une baisse sensible du nombre de tentatives d’infection des utilisateurs à l’aide de représentants de la famille Trojan-Banker.AndroidOS.Marcher. Entre les mois d’avril et d’août, le nombre d’attaques organisées à l’aide de ce malware a été divisé par 5. Il se peut que les individus malintentionnés préparaient au cours de ces cinq mois des attaques contre des utilisateurs d’autres pays : en effet, jusqu’en septembre 2015, cette famille se propageait presqu’exclusivement en Russie. Mais depuis septembre, près de 30 % des attaques imputables à ce trojan ont eu lieu en Australie, en Allemagne et en France.

Le malware Trojan-Spy.AndroidOS.SmsThief.fc cité ci-dessus se propageait en Russie. Des individus malintentionnés ont ajouté leur code à une application bancaire originale, sans nuire au fonctionnement de celle-ci. C’est ce qui a compliqué la détection de ce trojan.

Malwares de la catégorie Trojan-Ransom pour appareils nomades

Par rapport à 2014, le nombre de familles de trojans de la catégorie Trojan-Ransom que nous avons détecté a pratiquement doublé en 2015. Le nombre de modifications détectées au cours de la même période est 3,5 fois plus élevé et a atteint 6 924 exemplaires.

Au cours de la période couverte par le rapport, les malwares d’escroquerie pour appareils nomades ont attaqué 94 344 utilisateurs uniques, soit 5 fois plus que l’année dernière (18 478). La part des utilisateurs uniques attaqués par des représentants de la catégorie Trojan-Ransom sur l’ensemble des utilisateurs victimes de malwares pour appareils nomades est passée de 1,1 à 3,8 % en un an.

Des attaques menées par des malwares d’escroquerie pour appareils nomades ont été enregistrées au moins une fois dans 156 pays.

Virologie mobile 2015

Répartition géographique des malwares d’escroquerie pour appareils nomades
(nombre d’utilisateurs attaqués, 2015)

Top 10 des pays selon le nombre d’utilisateurs attaqués par des malwares de type Trojan-Ransom

Pays Nombre d’utilisateurs attaqués
1 Russie 44951
2 Allemagne 15950
3 Kazakhstan 8374
4 États-Unis 5371
5 Ukraine 4250
6 Royaume-Uni 2878
7 Italie 1313
8 Espagne 1062
9 Iran 866
10 Inde 757

La Russie, l’Allemagne et le Kazakhstan sont les trois pays où on a enregistré le plus grand nombre d’attaques par des malwares d’escroquerie.

En Russie et au Kazakhstan, c’est la famille Trojan-Ransom.AndroidOS.Small, qui a été la plus exploitée et plus particulièrement la modification Trojan-Ransom.AndroidOS.Small.o qui aura été la plus utilisée parmi tous les représentants de la catégorie Trojan-Ransom en 2015.

La famille Trojan-Ransom.AndroidOS.Pletor, premier malware de chiffrement pour appareils nomades, aura conservé sa popularité tout au long de l’année 2015. On notera avec intérêt qu’elle doit son existence au même groupe d’individus malintentionnés qui a développé Trojan-Banker.AndroidOS.Acecard.

La famille Trojan-Ransom.AndroidOS.Fusob est la plus souvent diffusée en Allemagne.

Virologie mobile 2015

Fenêtres ouvertes par le trojan Fusob

Les Etats-Unis occupent la 4e place dans ce classement. Dans ce pays, la famille la plus souvent utilisée est Trojan-Ransom.AndroidOS.Fusob, mais on compte également un nombre assez important d’attaques organisées à l’aide de Trojan-Ransom.AndroidOS.Svpeng.

Ce classement dépend en grande partie du nombre d’utilisateurs dans chaque pays. C’est pourquoi il est intéressant de consulter un autre classement sur la part d’utilisateurs attaqués par Trojan-Ransom dans l’ensemble des utilisateurs attaqués dans ce pays.

Top 10 des pays en fonction de la part d’utilisateurs attaqués par Trojan-Ransom sur l’ensemble des utilisateurs attaqués

Pays % de l’ensemble des utilisateurs attaqués*
1 Kazakhstan 15,1
2 Allemagne 14,5
3 États-Unis 10,3
4 Canada 8,9
5 Pays-Bas 8,8
6 Royaume-Uni 8,3
7 Suisse 6,9
8 Autriche 6,4
9 Ukraine 5,9
10 Australie 5,5

* Pourcentage d’utilisateurs attaqués par Trojan-Ransom sur l’ensemble des utilisateurs d’applications pour appareils nomades de Kaspersky Lab attaqués.

La Russie, qui compte le plus grand nombre d’utilisateurs attaqués, ne figure pas dans cette liste. Le trio de tête est composé du Kazakhstan, de l’Allemagne et des Etats-Unis.

Conclusion

Alors que l’apparition des premiers trojans publicitaires qui exploitent les autorisations de super-utilisateur à leurs fins remonte à quelques années, c’est en 2015 que leur nombre a fortement augmenté et qu’ils se sont propagés de manière assez active. Le Top 20 du premier trimestre 2015 ne comptait qu’un représentant de cette catégorie, mais plus de la moitié des entrées du Top 20 pour l’ensemble de l’année était issue de cette catégorie. Ils se propagent via toutes les méthodes possibles et imaginables : via d’autres logiciels publicitaires, via des magasins d’applications, voire préinstallés sur certains appareils. Il est plus que probable que le nombre de trojans publicitaires qui exploitent les autorisations de super-utilisateur va continuer à augmenter en 2016.

Nous avons déjà observé quelques cas où des trojans publicitaires avaient été utilisés pour propager des malwares pour appareils nomades. Tout porte à croire que les individus malintentionnés vont utiliser de plus en plus souvent les trojans publicitaires pour infecter les appareils nomades des utilisateurs avec des malwares.

Signalons également que d’autres catégories de malwares, principalement Trojan-Ransom, exploitent également les autorisations de super-utilisateur.

Il est fort probable que le développement des trojans de la catégorie Trojan-Ransom va se poursuivre en 2016. Nous nous attendons à ce que les individus malintentionnés adoptent davantage les trojans d’escroquerie et que la répartition géographique de ces infections va s’élargir.

La catégorie Trojan-Banker est une autre catégorie que nous allons continuer à suivre attentivement en 2016. Il existe déjà un nombre important de trojans bancaires qui peuvent se passer d’applications compagnon sur l’ordinateur de la victime. Ces trojans sont autonomes et il leur suffit d’infecter le téléphone de la victime pour voler l’argent. Ces trojans sont capables de voler les informations d’authentification pour les applications bancaires pour appareils nomades en superposant une fenêtre de phishing sur l’interface de l’application légitime. Ils sont capables de voler les données de la carte de crédit des utilisateurs à l’aide d’une technique similaire. De plus, ils disposent des capacités pour intercepter les communications entre la banque et son client. Ainsi, ils peuvent intercepter les SMS envoyés par la banque et les transférer à l’individu malintentionné. En 2016, les trojans bancaires vont cibler un nombre encore plus important de banques. Ils vont exploiter de nouveaux vecteurs de diffusion ainsi que de nouvelles technologies de vol des données.

Le développement des capacités des appareils et des services pour appareils nomades va s’accompagner d’un renforcement de l’intérêt des individus malintentionnés qui vivent des malwares pour appareils nomades. Les auteurs de virus vont perfectionner leurs créations, introduire de nouvelles technologies et rechercher de nouvelles méthodes de propagation des malwares pour appareils nomades. L’argent des utilisateurs demeurera leur objectif principal. Et dans un tel contexte, il est risqué de négliger la protection des appareils nomades.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *