Etude des menaces mobiles en 2016

Contenu

Chiffres de l’année

Détections sur l’ensemble de l’année 2016 :

  • 8 526 221 paquets d’installation malveillants ;
  • 128 886 trojans bancaires pour appareils mobiles ;
  • 261 214 trojans ransomwares pour appareils mobiles.

Tendances de l’année

  • Hausse de la popularité des malwares dotés des autorisations root, principalement parmi les trojans publicitaires.
  • Diffusion de malwares via Google Play Store et les régies publicitaires.
  • Emergence d’outils pour déjouer les nouveaux mécanismes de protection du système d’exploitation Android.
  • Augmentation du nombre de ransomwares pour appareils mobiles.
  • Développement actif des trojans bancaires pour appareils mobiles.

Malware avec autorisations root

Les trojans les plus utilisés en 2016 ont été les trojans publicitaires pouvant obtenir des autorisations root. Pour y parvenir, ils exploitent différents ensembles de vulnérabilités, qui ont été éliminées en général dans les nouvelles versions d’Android. Malheureusement, les mises à jour du système ne sont pas réalisées automatiquement sur une grande partie des appareils en circulation, ce qui les rend vulnérables.

Grâce aux autorisations root, le trojan dispose de possibilités pratiquement infinies qui lui permettent, notamment, d’installer d’autres logiciels publicitaires de manière discrète ou d’afficher des publicités sur l’appareil, ce qui débouche souvent sur l’impossibilité d’utiliser le smartphone. Outre l’affichage intempestif de publicités et l’installation d’un logiciel tiers, ces trojans peuvent également acheter des applications dans Google Play.

Le malware quant à lui installe ses modules dans les répertoires système, ce qui complique considérablement la désinfection de l’appareil infecté. Certains trojans publicitaires sont même capables d’infecter l’image de restauration afin d’empêcher toute résolution du problème qui ferait intervenir le retour aux paramètres d’usine.

Outre l’installation de logiciels publicitaires, ces trojans peuvent également installer des malwares. Nous avons recensé des cas d’installation du téléchargeur modulaire Backdoor.AndroidOS.Triada, qui modifiait le processus Zygote. Il pouvait ainsi s’implanter dans le système et modifier les messages SMS envoyés par d’autres applications afin de voler l’argent du propriétaire de l’appareil. Les autorisations root permettaient au trojan de faire littéralement tout ce qu’il voulait, y compris substituer des URL dans les navigateurs.

Des représentants de cette catégorie de malware ont été identifiés à plusieurs reprises dans le magasin officiel d’applications Google Play Store, par exemple sous la forme d’un guide pour le jeu populaire Pokemon GO. Cette application avait été téléchargée plus de 500 000 fois et était détectée sous le nom Trojan.AndroidOS.Ztorg.ad.

Etude des menaces mobiles en 2016

Trojan.AndroidOS.Ztorg.ad dissimulé sous les traits d’un guide pour Pokemon GO

Poursuite de l’utilisation du magasin d’applications Google par les cybercriminels

En octobre et en novembre, nous avons détecté dans Google Play près de 50 nouvelles applications infectées par une nouvelle version du malware Trojan.AndroidOS.Ztorg.ad : Trojan.AndroidOS.Ztorg.am. D’après les données du compteur d’installations, plusieurs d’entre elles ont été installées plus de 100 000 fois.

Etude des menaces mobiles en 2016

Trojan.AndroidOS.Ztorg.am sous les traits d’un lecteur vidéo

Des trojans développés pour le vol de données d’identification ont également été diffusés via Google Play. Parmi ceux-ci, citons Trojan-Spy.AndroidOS.Instealy.a qui volait des noms d’utilisateur et des mots de passe d’Instagram. Le deuxième exemple est celui de Trojan-PSW.AndroidOS.MyVk.a qui a été publié à plusieurs reprises sur Google Play et dont la fonction consistait à voler les données des utilisateurs du réseau social VKontakte.

Citons également l’exemple du trojan ransomware Trojan-Ransom.AndroidOS.Pletor.d diffusé par les individus malintentionnés sous les traits d’une application de nettoyage du système d’exploitation. En général, les représentants de la famille Trojan-Ransom.AndroidOS.Pletor chiffrent les fichiers sur l’appareil infecté, mais la version détectée se contentait de bloquer l’appareil et exigeait le paiement d’une rançon pour le déblocage.

Etude des menaces mobiles en 2016

Trojan-Ransom.AndroidOS.Pletor.d sous les traits d’une application de nettoyage du système

Contournement des mécanismes de protection

Les individus malintentionnés recherchent en permanence des méthodes pour contourner les nouveaux mécanismes de protection d’Android. Ainsi, au début de l’année 2016, nous avions découvert que certaines modifications du trojan SMS Tiny étaient capables de superposer leur fenêtre sur le message système qui mettait l’utilisateur en garde contre l’envoi d’un SMS vers un numéro surtaxé. Le propriétaire du smartphone qui n’est pas en mesure de lire le texte original ne sait pas à quoi il consent et envoie le SMS au numéro indiqué par l’individu malintentionné.

Trojan-Banker.AndroidOS.Asacub utilisait une astuce similaire pour obtenir des privilèges d’administrateur de l’appareil. En dissimulant la requête du système, le trojan trompe l’utilisateur et l’amène à lui octroyer des privilèges supplémentaires. Asacub sollicite, entre autres, les autorisations pour devenir l’application par défaut de traitement des SMS, ce qui lui permet d’accéder aux messages même dans les nouvelles versions d’Android.

Les créateurs du trojan bancaire Trojan-Banker.AndroidOS.Gugi ont été encore plus loin. Ce malware est capable de déjouer deux nouveaux mécanismes de protection d’Android 6 uniquement à l’aide de l’ingénierie sociale. Sans exploiter aucune vulnérabilité du système, Gugi déjoue des fonctions de protection telles que la demande d’affichage de sa fenêtre sur les fenêtres d’autres applications et le mécanisme de demandes d’autorisation dynamique pour des actions potentiellement dangereuses.

Trojans ransomwares pour appareils mobiles

Alors que le tout premier trojan ransomware chiffrait vraiment les données de l’utilisateur sur l’appareil avant d’exiger le paiement d’une rançon pour le déchiffrement, les trojans ransomwares modernes se contentent de superposer une fenêtre contenant leurs revendications sur les autres fenêtres (y compris les fenêtres système), ce qui rend l’utilisation de l’appareil impossible.

Le ransomware pour appareils mobiles le plus répandus en 2016, à savoir Trojan-Ransom.AndroidOS.Fusob fonctionne selon le même principe. Il est intéressant de constater que ce trojan attaque les utilisateurs situés en Allemagne, aux Etats-Unis et en Grande-Bretagne et qu’il évite les utilisateurs de la CEI et de certains autres pays (le malware vérifie la langue du système après son lancement, puis décide d’arrêter ou non son exécution). En guise de rançon, le trojan requiert un paiement sous la forme de codes de cartes iTunes prépayées pour un montant compris entre 100 et 200 dollars américains.

Signalons également une autre méthode de blocage de l’appareil adoptée par la famille Trojan-Ransom.AndroidOS.Congur très répandue en Chine. Ces trojans ransomwares modifient le code PIN de l’appareil ou active cette fonction en définissant leur propre PIN. Pour ce faire, le malware doit obtenir les autorisations d’administrateur. Afin de débloquer l’appareil, les victimes sont invitées à contacter les individus malintentionnés via le client de messagerie QQ.

Les trojans bancaires pour appareils mobiles ont connu une vive évolution tout au long de l’année. Plusieurs d’entre eux ont été dotés d’outils capables de déjouer les nouveaux mécanismes de protection d’Android, ce qui leur a permis de continuer à voler les données des utilisateurs sur les versions les plus récentes du système d’exploitation. Les développeurs de ces malwares bancaires ont également intégré de nouvelles fonctions à leurs créations. Par exemple, la famille Marcher a utilisé pendant quelques mois la redirection de l’utilisateur depuis des sites d’organisations financières vers des sites de phishing.

De plus, de nombreux trojans bancaires pour appareils mobiles possèdent des fonctions qui permettent d’exiger de l’argent : une commande du serveur leur permet de bloquer le fonctionnement d’un appareil jusqu’au paiement d’une rançon. Comme nous avons pu le constater, une des modifications de Trojan-Banker.AndroidOS.Faketoken peut non seulement « se superposer » à l’interface du système, mais également chiffrer les données de l’utilisateur.

Il faut souligner que les individus malintentionnés qui développent des malwares pour Android n’ont pas ignoré un des sujets les plus marquants de 2016 : les dispositifs de l’Internet des objets. Pour être plus précis, nous avons découvert le trojan Switcher qui attaque un routeur dont le réseau Wi-Fi compte la connexion d’un appareil infecté. Si le trojan a réussi à obtenir le mot de passe du routeur, il modifie les paramètres DNS et réalise une attaque DNS-hijacking.

Coup d’œil sur le Dark Web. Un contribution du Complexe mondial INTERPOL pour l’innovation.

Le Dark Web permet aux criminels de communiquer et de réaliser des opérations commerciales telles que la vente et l’achat de différents produits et services, dont des kits de malwares pour appareils mobiles. Les vendeurs et les acheteurs profitent de plus en plus des nombreux mécanismes de sécurité et transactionnels mis en place dans les crypto-marchés de Tor (The Onion Router) tels que le recours aux crypto-devises, les services d’administration offerts par des tiers (séquestre), les transactions à plusieurs signatures, le chiffrement, le suivi de la réputation/des commentaires, etc. INTERPOL s’est penchée sur les principales plateformes du Dark Web et a découvert que les malwares pour appareils mobiles sont vendus en tant que paquets logiciel (par exemple, trojans d’accès à distance (RAT), solutions individuelles, outils de pointe développés par des sociétés professionnelles ou, dans une moindre mesure, dans le cadre du modèle de « bot en tant que service ». Les malwares pour appareils mobile suscitent également de l’intérêt dans les magasins de vendeurs, dans les forums et sur les réseaux sociaux.

Marchés

Un certain nombre de produits et de services liés aux malwares pour appareils mobiles sont vendus sur les marchés du Dark Web. Ces malwares pour appareils mobiles sont souvent promus dans le cadre d’une offre qui inclut, par exemple, des trojans d’accès à distance (RAT), des pages de phishing ou des lots de logiciels de « piratage » contenant des outils d’analyse ou d’identification de mots de passe. Des outils individuels/autonomes sont également proposés. Ainsi, des vendeurs sur quatre grands marchés proposaient DroidJack. Ce RAT pour Android très répandu est vendu ouvertement sur le Clearnet à un prix élevé. Celui-ci est beaucoup plus réduit sur le Dark Web.

Les deux versions (lot ou solution individuelle) sont parfois accompagnées de modes d’emploi qui présentent les méthodes de piratage des systèmes d’exploitation les plus répandus comme Android et iOS. On trouve également dans le Dark Web des outils plus sophistiqués comme Galileo, un système de commande à distance développé par la société informatique italienne Hacking Team qui permet d’accéder à distance aux appareils qui tournent sous Android, iOS, BlackBerry, Windows ou OS X et de les exploiter. Nous pouvons également citer à titre d’exemple le code source de Acecard. Ce malware est connu pour la superposition d’écrans sur ceux des applications de banque mobiles et le transfert des identifiants de l’utilisateur à l’attaquant. Il est également capable d’accéder aux SMS, ce qui permet aux attaquants d’obtenir les codes d’authentification à deux facteurs.

Android bot rent service (BaaS ou Bot en tant que service) peut également être acheté. Le bot peut servir à récolter des informations financières sur les téléphones Android. Il possède de nombreuses fonctions et une documentation riche, disponible en anglais et en russe. D’autres fonctions et caractéristiques peuvent être développées à la demande. Le service peut coûter jusqu’à 2 500 dollars américains par mois ou 650 dollars américains par semaine.

Les marchés du Dark Web proposent également des produits de phishing pour appareils mobiles qui permettent d’obtenir des informations financières, des outils capables de contrôler les téléphones via Bluetooth ou de modifier leur numéro IMEI (International Mobile Equipment Identity) ainsi que divers RAT pour Android dont l’objectif est d’intercepter des SMS, les journaux des appels et les emplacements, voire d’accéder à l’appareil photo de l’appareil.

Magasins de vendeur, forums et médias sociaux

Les magasins de vendeur sont des plateformes autonomes développées par un seul vendeur ou un groupe de vendeurs qui ont fidélisé une base de clients sur un marché et qui ont décidé de démarrer leur propre activité. En règle générale, ces magasins ne proposent pas de forums et se contentent d’assurer la promotion d’un type défini d’article illégale comme des stupéfiants ou des données personnelles volées. Toutefois, ils proposent également des malwares pour appareils mobiles (DroidJack). Des didacticiels sont parfois proposés avec le malware pour appareil mobile, tandis que les forums et les réseaux sociaux fournissent des informations sur les outils les mieux adaptés et sur la manière de les installer et de les utiliser. De plus, un service masqué de Tor consacré aux actualités du piratage proposait des informations sur la façon de configurer le malware pour appareils mobiles Dendroid. Ce RAT capable d’intercepter des messages SMS, de télécharger des images et d’ouvrir une boîte de dialogue pour obtenir des mots de passe remonte à 2014 mais il était toujours offerts en 2016 dans différentes paquets proposés sur différents marchés.

En raison de son anonymat robuste, de l’application de techniques de la sécurité opérationnelle, de prix attrayants et d’une stratégie axée sur les clients, le Dark Web demeure un environnement intéressant pour réaliser des activités illicites, commerciales ou non. Il pourrait également être le terreau dans lequel des activités criminelles particulières pourraient se développer à l’avenir. Le développement de solutions techniques innovantes (en étroite coopération avec les universités, les instituts de recherche et le secteur privé), la coopération internationale et le développement des capacités sont des piliers sur lesquels la lutte contre l’utilisation du Dark Web par les criminels doit reposer.

Statistiques

Sur l’ensemble de l’année 2016, nous avons observé une augmentation sensible du nombre de paquet d’installation de malwares pour appareils mobiles. Ce nombre a triplé par rapport à 2015 et a atteint 8 526 221. A titre de comparaison, entre 2004 et 2013, nous avons découvert plus de 10 millions de paquets d’installation malveillants et près de 2,5 millions en 2014.

Entre le début du mois de janvier 2016 et la fin du mois de décembre 2016, Kaspersky Lab a repoussé plus de 40 millions d’attaques de malwares pour appareils mobiles et a protégé 4 018 234 utilisateurs uniques d’appareils Android (contre 2,6 millions en 2015).

Etude des menaces mobiles en 2016

Nombre d’attaques déjouées par les solutions de Kaspersky Lab, 2016.

Etude des menaces mobiles en 2016

Nombre d’utilisateurs protégés par les solutions de Kaspersky Lab, 2016.

Répartition géographique des menaces pour appareils mobiles

Des attaques de malwares pour appareils nomades ont été enregistrées dans plus de 230 pays et territoires.

Etude des menaces mobiles en 2016

Répartition géographique des menaces pour appareils mobiles (nombre d’utilisateurs attaqués, 2016)

Top 10 des pays par pourcentage d’utilisateurs attaqués par des malwares pour appareils mobiles

Pays* %**
1 Bangladesh 50,09%
2 Iran 46,87%
3 Népal 43,21%
4 Chine 41,85%
5 Indonésie 40,36%
6 Algérie 36,62%
7 Nigeria 35,61%
8 Philippines 34,97%
9 Inde 34,18%
10 Ouzbékistan 31,96%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs actifs du logiciel antivirus pour appareils mobiles de Kaspersky Lab était inférieur à 25 000 pour la période couverte par le rapport.
** Pourcentage d’utilisateurs uniques attaqués dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays

La Chine, qui avait occupé la tête de ce même classement l’année dernière, a maintenu sa position dominante au cours du 1er semestre 2016, avant de passer à la 4e place et de céder sa position au Bangladesh qui a dominé le classement pour le reste de l’année. Plus de la moitié des utilisateurs des solutions de Kaspersky Lab pour appareils mobiles a été confrontée à des malwares.

Les malwares pour appareils mobiles les plus répandus au Bangladesh en 2016 ont été les représentants des trojans publicitaires appartenant aux familles Ztorg et Iop ainsi qu’à des logiciels publicitaires de la famille Sprovider. Ces mêmes malwares, ainsi que des représentants des familles AdWare.AndroidOS.Ewind et AdWare.AndroidOS.Sprovider, ont figuré parmi les malwares les plus souvent détectés sur les appareils des utilisateurs de tous les pays du Top 10, à l’exception de la Chine et de l’Ouzbékistan.

En Chine, les trojans les plus répandus ont été Backdoor.AndroidOS.Fakengry.h et Backdoor.AndroidOS.GinMaster.a, sans oublier des représentants du comportement RiskTool.AndroidOS.

Les malwares Trojan-SMS.AndroidOS.Podec.a et Trojan-FakeAV.AndroidOS.Mazig.b ont quant à eux été les plus répandus en Ouzbékistan. De plus, des représentants des familles de trojans publicitaires Ztorg et Iop ainsi que des logiciels publicitaires de la famille Sprovider ont été souvent détectés en Ouzbékistan.

Types de malwares pour appareils mobiles

Depuis cette année, nous déterminons la répartition des malwares par type sur la base du nombre de paquets d’installation détecté, et non pas des modifications, comme par le passé.

Etude des menaces mobiles en 2016

Répartition des nouvelles menaces pour appareils nomades par type en 2015 et 2016

Par rapport à l’année dernière, la hausse la plus sensible a été celle du nombre de nouvelles menaces détectées du type RiskTool : de 29 % en 2015, la fréquence est passée à 43 % en 2016. Parallèlement, la part des nouveaux logiciels publicitaires (AdWare) a diminué et est passée de 21 à 13 %.

Pour la deuxième année consécutive, on observe une réduction de la part des paquets d’installation de type Trojan-SMS parmi l’ensemble des fichiers détectés. Cet indicateur passe de 24 à 11 %, ce qui constitue la chute la plus marquée. Cela ne veut pas dire pour autant que la menace Trojan-SMS n’est plus d’actualité : sur l’ensemble de l’année 2016, nous avons détecté près de 700 000 nouveaux paquets d’installation.

La hausse la plus importante est à l’actif du type Trojan-Ransom : sa part dans l’ensemble des paquets d’installation découverts en 2016 a été multipliée par 6,5 pour atteindre 4 %. Cette augmentation s’explique par la diffusion active de deux familles de ransomwares : Trojan-Ransom.AndroidOS.Fusob et Trojan-Ransom.AndroidOS.Congur.

Top 20 des malwares pour appareils nomades

Le classement des malwares fourni ci-dessous ne reprend pas les applications potentiellement indésirables comme RiskTool et les logiciels publicitaires.

Verdict %*
1 DangerousObject.Multi.Generic 67,93
2 Backdoor.AndroidOS.Ztorg.c 6,58
3 Trojan-Banker.AndroidOS.Svpeng.q 5,42
4 Trojan.AndroidOS.Iop.c 5,25
5 Backdoor.AndroidOS.Ztorg.a 4,83
6 Trojan.AndroidOS.Agent.gm 3,44
7 Trojan.AndroidOS.Ztorg.t 3,21
8 Trojan.AndroidOS.Hiddad.v 3,13
9 Trojan.AndroidOS.Ztorg.a 3,11
10 Trojan.AndroidOS.Boogr.gsh 2,51
11 Trojan.AndroidOS.Muetan.b 2,40
12 Trojan-Ransom.AndroidOS.Fusob.pac 2,38
13 Trojan-Ransom.AndroidOS.Fusob.h 2,35
14 Trojan.AndroidOS.Sivu.c 2,26
15 Trojan.AndroidOS.Ztorg.ag 2,23
16 Trojan.AndroidOS.Ztorg.aa 2,16
17 Trojan.AndroidOS.Hiddad.an 2,12
18 Trojan.AndroidOS.Ztorg.i 1,95
19 Trojan-Dropper.AndroidOS.Agent.cv 1,85
20 Trojan-Dropper.AndroidOS.Triada.d 1,78

*Pourcentage d’utilisateurs attaqués par ce malware sur l’ensemble des utilisateurs attaqués.

La 1re position de notre Top 20 pour 2016 revient au verdict DangerousObject.Multi.Generic (67,93%) que nous attribuons aux malwares détectés à l’aide des technologies Cloud. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas les signatures des menaces ni les méthodes heuristiques de détection des malwares. C’est donc ainsi que les malwares les plus récents sont identifiés.

Backdoor.AndroidOS.Ztorg.c occupe la 2e position : il s’agit d’un trojan qui utilise les autorisations root pour installer différentes applications à l’insu du propriétaire de l’appareil. Il convient de signaler que seize trojans publicitaires (en bleu dans le tableau) figurent dans le classement 2016, soit quatre fois plus que dans le classement 2015.

La 3e position revient à Trojan-Banker.AndroidOS.Svpeng.q qui est devenu le trojan bancaire pour appareils mobiles le plus répandu en 2016. Il doit sa popularité aux individus malintentionnés qui l’ont diffusé via la régie publicitaire AdSense. Notons qu’en raison de vulnérabilités dans le navigateur Chrome, l’utilisateur ne devait rien faire pour télécharger le trojan sur l’appareil. Signalons que la moitié des utilisateurs confrontés à des trojans bancaires pour appareils mobiles en 2016 a été victime de représentants de la famille Svpeng. Ces trojans utilisent des fenêtres de phishing pour voler les données de la carte bancaire et ils attaquent également les systèmes de transactions bancaires par SMS.

Les représentants Trojan-Ransom.AndroidOS.Fusob.pac et Trojan-Ransom.AndroidOS.Fusob.h de la famille de ransomwares pour appareils mobiles Fusob occupent respectivement la 12e et la 13e position. Ces trojans bloquent l’appareil en superposant leur fenêtre sur les autres, puis exigent le versement d’une rançon pour le déblocage.

Trojans bancaires pour appareils mobiles

En 2016, nous avons détecté 128 886 paquets d’installation de trojans bancaires pour appareils mobiles, soit 1,6 fois de plus que l’année dernière.

Etude des menaces mobiles en 2016

Nombre de paquets d’installation de trojans bancaires pour appareils mobiles découverts par Kaspersky Lab en 2016

Sur l’ensemble de l’année 2016, 305 543 utilisateurs répartis dans 164 pays ont été victimes de trojans bancaires pour appareils mobiles A titre de comparaison, 56 194 utilisateurs de 137 pays avaient été attaqués en 2015.

Etude des menaces mobiles en 2016

Répartition géographique des menaces bancaires pour appareils mobiles (nombre d’utilisateurs attaqués, 2016)

Top 10 des pays par part des utilisateurs victimes de malwares bancaires pour appareils mobiles sur l’ensemble des utilisateurs

Pays* %**
1 Russie 4,01
2 Australie 2,26
3 Ukraine 1,05
4 Ouzbékistan 0,70
5 Tadjikistan 0,65
6 Corée, République de 0,59
7 Kazakhstan 0,57
8 Chine 0,54
9 Biélorussie 0,47
10 Moldavie 0,39

* Nous avons exclu du classement les pays où le nombre d’utilisateurs actifs du logiciel antivirus pour appareils mobiles de Kaspersky Lab était inférieur à 25 000 pour la période couverte par le rapport.
** Pourcentage d’utilisateurs uniques attaqués par des malwares bancaires pour appareils mobiles dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays.

En Russie, tête du classement, 4 % des utilisateurs d’appareils mobiles ont été confrontés à des malwares bancaires pour appareils mobiles. Ce chiffre est près du double du pourcentage de victimes enregistré en Australie, en 2e position. La différence s’explique simplement par le fait que Svpeng, le trojan bancaire pour appareils mobiles le plus répandu, s’est propagé principalement en Russie. Des représentants des familles Asacub et Faketoken ont également fait beaucoup parler d’eux dans le pays.

En Australie, ce sont des représentants des familles Trojan-Banker.AndroidOS.Acecard et Trojan-Banker.AndroidOS.Marcher qui ont le plus circulé. En Corée (7e position), les trojans bancaires pour appareils mobiles les plus répandus appartenaient à la famille Trojan-Banker.AndroidOS.Wroba.

Dans tous les autres pays de notre Top 10, ce sont les membres des familles de malwares bancaires pour appareils mobiles Trojan-Banker.AndroidOS.Faketoken et Trojan-Banker.AndroidOS.Svpeng qui ont le plus circulé. Les représentants de cette dernière ont été les plus actifs en 2016 : plus de la moitié des utilisateurs d’appareils mobiles a été attaquée par ceux-ci. Comme nous l’avons déjà mentionné, ceci s’explique par la diffusion du malware via la régie publicitaire AdSense et son téléchargement à l’insu de l’utilisateur à cause d’une vulnérabilité dans le navigateur mobile.

La deuxième famille la plus utilisée aura été Trojan-Banker.AndroidOS.Faketoken. Certaines versions de ce trojan sont en mesure d’attaquer plus de 200 applications financières.

La 3e famille de trojans bancaires pour appareils mobiles qui a le plus circulé a été Trojan-Banker.AndroidOS.Asacub. Plus de 16 % des victimes de trojans bancaires pour appareils mobiles ont été touchés par cette famille. Les trojans se propagent principalement en Russie, souvent via des SMS non sollicités.

Trojans ransomwares pour appareils mobiles

Les ransomwares pour appareils mobiles ont enregistré une hausse sensible en 2016, aussi bien au niveau du nombre de paquets d’installation détectés que du nombre d’utilisateurs attaqués. Ce sont ainsi quelques 261 214 paquets d’installation que nous avons détectés en 2016, un chiffré multiplié par 8,5 par rapport à 2015.

Etude des menaces mobiles en 2016

Nombre de paquets d’installation de trojans ransomwares pour appareils mobiles découverts par Kaspersky Lab (T1 2016 – T4 2016)

S’agissant du nombre d’utilisateurs confrontés à ce type de malware, il s’élève à 153 258 individus dans 167 pays, soit 1,6 fois de plus qu’en 2015.

Il est intéressant de constater que la majorité des paquets d’installation identifiés au cours des deux premiers trimestres 2016 était liée à la famille Trojan-Ransom.AndroidOS.Fusob, mais au 3e trimestre, l’activité de ce trojan a chuté. La hausse au 4e trimestre est liée à l’activité croissante de la famille Trojan-Ransom.AndroidOS.Congur : elle réunit des trojans relativement élémentaires qui bloquent l’appareil en superposant leur fenêtre ou en modifiant le mot de passe d’accès à l’appareil.

Etude des menaces mobiles en 2016

Répartition géographique des ransomwares pour appareils mobiles
(nombre d’utilisateurs attaqués, 2016)

Top 10 des pays par part d’utilisateurs victimes de Trojan-Ransom sur l’ensemble des utilisateurs

Pays* %**
1 Allemagne 2,54
2 États-Unis 2,42
3 Canada 2,34
4 Suisse 1,88
5 Kazakhstan 1,81
6 Royaume-Uni 1,75
7 Italie 1,63
8 Danemark 1,29
9 Mexique 1,18
10 Australie 1,13

* Nous avons exclu du classement les pays où le nombre d’utilisateurs actifs du logiciel antivirus pour appareils mobiles de Kaspersky Lab était inférieur à 25 000 pour la période couverte par le rapport.
** Pourcentage d’utilisateurs uniques attaqués par des ransomwares pour appareils mobiles dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays.

C’est en Allemagne que l’on trouve le plus grand pourcentage d’utilisateurs d’appareils mobiles attaqués par des ransomwares avec un total supérieur à 2,5 %. Dans la grande majorité des pays qui figurent dans ce classement, les ransomwares les plus répandus appartenaient aux familles Trojan-Ransom.AndroidOS.Fusob et Trojan-Ransom.AndroidOS.Svpeng. Ce n’est qu’au Kazakhstan (5e position) que les ransomwares les plus souvent rencontrés étaient différentes versions de la famille Trojan-Ransom.AndroidOS.Small.

Pour en savoir plus sur ces trois familles de ransomwares pour appareils mobiles, reportez-vous à notre enquête distincte sur le sujet.

Conclusion

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant. Les individus malintentionnés exploitent le fait que la majorité des appareils n’obtient pas les mises à jour du système d’exploitation ou les obtient tardivement. Cela signifie qu’un grand nombre d’appareils est exposé à des codes d’exploitation anciens, bien connus et facilement accessibles.

Cette année, nous poursuivons notre observation attentive du développement des trojans bancaires pour appareils mobiles : pour la première fois, les développeur de cette catégorie de malwares utilisent de nouvelles technologies et sont toujours en quête de solutions pour déjouer les mécanismes de protection intégrés aux versions les plus récentes des systèmes d’exploitation.

Un des sujets les plus brûlants de l’année 2016 aura été la sécurité des dispositifs connectés à l’Internet des objets. Les dispositifs « intelligents » les plus divers capables de se connecter à Internet sont de plus en plus populaires, mais la sécurité de ceux-ci est déplorable. Nous avons découvert en 2016 un trojan qui attaquait les routeurs domestiques. Nous remarquons que le téléphone commence à devenir très prisé par les individus malintentionnés, c’est pourquoi ces derniers commencent à s’intéresser à d’autres cibles, en sus des smartphones. Il est probable que l’année 2017 marquera l’avènement de véritables attaques contre des représentants de l’Internet des objets depuis des appareils mobiles.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *