Virologie mobile, 5e partie

Introduction

Près d’un an s’est écoulé depuis la publication de la quatrième partie du rapport « Virologie

mobile ».

En guise de conclusion, nous avions formulé quelques pronostics sur le développement des menaces pour

les plateformes mobiles en 2011. Voyons si ces pronostics se sont confirmés.

En bref, les hypothèses principales que nous avancions étaient les suivantes :

  1. Domination des SMS chevaux de Troie
  2. Augmentation des menaces pour Android.
  3. Augmentation du nombre de vulnérabilités détectées dans diverses plateformes pour appareils

    nomades et, éventuellement, du nombre d’attaques réalisées à l’aide de celles-ci.

  4. Augmentation du nombre de logiciels espion.

Un an plus tard, en ce début de l’année 2012, nous pouvons affirmer que nos pronostics se sont

malheureusement tous vérifiés.

  1. Les SMS chevaux de Troie ont connu un développement actif.
  2. Le nombre de menaces pour Android a augmenté, et de manière sensible.
  3. Les individus malintentionnés utilisent activement certaines vulnérabilités.
  4. Les logiciels espions sont également une source de nombreux problèmes pour les utilisateurs.

Il faut également noter que l’hégémonie des programmes malveillants pour la plateforme J2ME s’est

terminée, de manière assez abrupte. Ceci s’explique en grande partie par l’intérêt que les auteurs de

virus ont porté à la plateforme Android. En raison de la popularité de cette plateforme, les auteurs

de virus ont été confrontés à toute une série de nouveaux problèmes que nous allons aborder ci-

après.

Dans l’ensemble, en 2011 les programmes malveillants ont atteint un nouveau seuil de qualité : ils

sont devenus plus complexes. Toutefois, nous retrouvons toujours parmi les programmes malveillants des exemplaires russes et chinois moins complexes et il est peu probable que la situation change à court

terme.

La cinquième partie du rapport « Virologie mobile » est consacrée à ces événements.

Statistiques générales

Comme de coutume, nous allons commencer par un survol des statistiques.

Nombre de familles et de leurs modifications

Pour rappel, à la fin de l’année 2010, notre collection comptait 153 familles et plus de 1 000

modifications de programmes malveillants pour plateforme mobile. Et en 2010, le nombre de nouveaux

programmes malveillants pour plateforme mobile détectés avait augmenté de 65,12 % par rapport à

2009.

Le nombre de modifications et de familles de programmes malveillants pour plateforme mobile dans la

collection de Kaspersky Lab au premier janvier 2012 est présenté ci-après :

Plateforme Modifications

Familles

Android 4139 126
J2ME 1682 63
Symbian 435 111
Windows Mobile 81 23
Autres 19 8

Quelle aura été la croissance du nombre de menaces en 2011 ? Sur l’ensemble de 2011, nous avons

enregistré 5 255 nouvelles modifications de programmes malveillants pour plateforme mobile et 178

nouvelles familles ! Le nombre total de nouvelles menaces en un an a été multiplié par 6,4. Au cours

du mois de décembre 2011 uniquement, nous avons ajouté à nos bases antivirus plus de programmes

malveillants pour appareils mobiles qu’au cours de la période allant de 2004 à 2010.

 
Nombre de nouvelles

modifications de programmes malveillants pour appareils mobiles par mois
2004 – 2011

Le schéma montre clairement que le nombre de nouvelles menaces a sensiblement augmenté au cours du

deuxième semestre 2011. Nous n’avions jamais rien vu de pareil dans l’histoire des programmes

malveillants pour appareils mobiles.

Répartition par comportement

Nous n’avions jamais présenté de statistiques sur la répartition des programmes malveillants pour

plateforme mobile par comportement. Toutefois, les données que nous avons obtenues en 2011 sont assez

curieuses.

 
Répartition par

comportement des programmes malveillants pour plateforme mobile en 2011

Comme nous l’avons déjà dit, l’année 2011 aura été marquée non seulement par l’augmentation du

nombre de menaces pour plateformes mobiles, mais également par des modifications au niveau de la

qualité de ces programmes malveillants. Bien que parmi les programmes détectés les chevaux de Troie

SMS primitifs occupent toujours une position dominante (ils permettent aux individus malintentionnés

de gagner de l’argent sans trop d’effort), leur part est en recul et est passée de 44,2 % en 2010 à

36,6 % en 2011.

Les portes dérobées occupent la deuxième position. En 2010, les programmes malveillants de cette

catégorie n’étaient pratiquement pas utilisés par les individus malintentionnés. L’intérêt des auteurs

de virus pour les portes dérobées est lié à l’intérêt croissant porté au système d’exploitation

Android. La grande majorité des portes dérobées détectées visent les smartphones sous Android. Bien

souvent, la porte dérobée est accompagnée d’un kit de codes d’exploitation root et si l’infection

réussit, l’individu malintentionné obtient le contrôle total de l’appareil mobile.

En troisième position, nous retrouvons les logiciels espions qui volent les données personnelles de

l’utilisateur et/ou les données relatives à l’appareil mobile infecté. Notre pronostic sur le

développement de menaces qui tentent de tout voler s’est vérifié également pour les plateformes

mobiles : en 2011, les auteurs de virus ont été très actifs dans la création et la diffusion de

programmes malveillants de ce genre.

Répartition par plateforme

Si l’on évoque la répartition des programmes malveillants pour plateforme mobile par plateforme,

comme nous l’avons déjà dit, J2ME n’est plus l’environnement principal dans lequel les programmes

malveillant vivent.

 
Répartition des

modifications de programmes malveillants par plateforme en 2011

La raison du renversement de la plateforme J2ME est évidente : l’augmentation sensible de la

popularité des appareils mobiles tournant sous Android. Une situation identique avait déjà été

observée à l’époque avec Symbian. De 2004 à 2006, Symbian était le leader incontesté parmi les

plateformes mobiles et sa popularité était grande auprès des auteurs de virus. Plus tard, Symbian a

été détrôné par J2ME car les programmes malveillants pour cette plateforme pouvaient attaquer un plus

grand nombre d’appareils mobiles. Aujourd’hui, Android est le système d’exploitation pour appareil

mobile le plus populaire au monde, ce qui se manifeste par l’apparition et le développement de

nouvelles menaces.Selon les différentes estimations, le système d’exploitation Android est installé

sur 40-50% des smartphones.

Une hausse marquée du nombre de nouvelles menaces pour Android a été enregistrée au cours du

deuxième semestre 2011. Vers le milieu de l’été environ, le nombre de programmes malveillants pour

Android a dépassé le nombre de programmes malveillants pour Symbian et à l’automne, ce nombre était

supérieur à celui des menaces pour la plateforme J2ME. Vers la fin de l’année, Android a renforcé sa

position de leader et il est fort peu probable que cette situation change à court terme.

Android dans le collimateur

La croissance explosive du nombre de programmes malveillants pour toutes les plateformes mobiles

est due en grande partie à l’augmentation du nombre de programmes malveillants pour Android.


Nombre de nouvelles modifications de tous les programmes

malveillants et des programmes pour Android
par mois en 2011

Le graphique ci-dessus montre qu’au cours du deuxième semestre de l’année, lorsque le nombre de

nouveaux programmes malveillants pour plateforme mobile a commencé à augmenter rapidement, la majorité

des programmes malveillants que nous découvrions chaque mois étaient des programmes pour Android. En

chiffres absolus, la situation est la suivante :

Mois Nombre total de nouvelles
modifications

Nombre de nouvelles
modifications pour Android
2011-1 27 4
2011-2 93 11
2011-3 139 39
2011-4 102 5
2011-5 175 25
2011-6 301 112
2011-7 298 212
2011-8 313 161
2011-9 680 559
2011-10 879 808
2011-11 1049 1008
2011-12 1199 1179

Tous les programmes malveillants pour Android que nous avons détectés peuvent être répartis en deux

groupes :

  • Programmes malveillants développés pour voler de l’argent ou des informations;
  • Programmes malveillants développés pour prendre les commandes de l’appareil.

 
Répartition des

programmes malveillants selon le comportement pour Android

Objectif : vol d’argent et d’informations

Déjà en octobre 2011, un tiers des programmes malveillants pour Android visait d’une manière ou

d’une autre le vol de données personnelles sur l’appareil de l’utilisateur (contacts, journaux des

appels, SMS, coordonnées GPS, photos, etc.).

Le vol d’informations est une spécialité des cybercriminels chinois. En général, ce qui les

intéresse surtout, ce sont les informations relatives à l’appareil (IMEI et IMSI, pays, numéro de

téléphone) et non pas tellement les informations personnelles ou confidentielles du propriétaire du

téléphone.

Le cheval de Troie Nickspy (Trojan-Spy.AndroidOS.Nickspy) est vraisemblablement une exception de la

production chinoise. Ce programme malveillant est capable d’enregistrer toutes les conversations du

propriétaire de l’appareil infecté dans des fichiers audio et de charger ces fichiers sur le serveur

distant des individus malintentionnés. Une des modifications de Nickspy, qui se dissimule sous les

traits d’une application du réseau social Google+, est capable de recevoir en mode caché des appels en

provenance du numéro de téléphone des individus malintentionnés, enregistré dans un fichier de

configuration du programme malveillant. Quand le téléphone infecté répond à ces appels à l’insu du

propriétaire du téléphone, les individus malintentionnés ont la possibilité d’entendre tout ce qui se

dit à proximité de l’appareil infecté, dont les conversations du propriétaire. Ce cheval de Troie

s’intéresse également au texte des SMS, aux informations relatives aux appels et aux coordonnées GPS.

Ces données sont également envoyées au serveur distant de l’individu malintentionné.

Alors que Nickspy a des origines chinoises, Antammi (Trojan-Spy.AndroidOS.Antammi) est la création

d’auteur de virus russes. La couverture de l’activité malveillante du cheval de Troie Antammi était la

fonction légitime d’une application de téléchargement de sonnerie. Ce cheval de Troie peut voler

pratiquement toutes les données personnelles de l’utilisateur : contacts, archives SMS, coordonnées

GPS, photos, etc. Ensuite, il envoie par courrier électronique aux cybercriminels le journal de son

activité et il charge les données volées sur leur serveur.

Nous aimerions évoquer dans ce chapitre une histoire qui a fait beaucoup de bruit. Au début du mois

de novembre, le chercheur et blogueur Trevor Eckhart, sur la base de documents rendus publics, a

publié un message signalant que certains opérateurs de téléphonie mobile américains ainsi que certains

fabricants de périphériques nomades installent par défaut sur certains périphériques nomades vendus

aux Etats-Unis une application développée par la société CarrierIQ. Cette application collecte

diverses informations sur le smartphone et sur son fonctionnement. Elle est également capable

d’enregistrer des données telles que les touches enfoncées par l’utilisateur, les URL visitées, etc.

En d’autres termes, l’application de CarrierIQ collecte un certain nombre de données personnelles sur

le propriétaire du smartphone.

Les smartphones tournant sous Android, et en particulier HTC, ont été au centre de l’attention des

chercheurs et des médias. On a même indiqué que l’application de CarrierIQ fonctionnait sur les

smartphones Blackberry et Nokia, mais ces deux sociétés ont déclaré qu’elles n’avaient jamais

préinstallé cette application sur leurs appareils. S’agissant d’Apple, elle a déclaré le contraire. Le

logiciel de CarrierIQ était présinstallé sur les appareils vendus par Apple, mais depuis la sortie

d’iOS 5 il n’est plus utilisé sur aucun appareil, à l’exception de l’iPhone 4. En novembre 2011,

l’application de CarrierIQ était toujours installée sur les iPhone 4, même sous iOS 5, mais selon les

déclarations d’Apple, elle allait être supprimée lors des prochaines mises à jour.

Après que cette histoire a fait beaucoup parler d’elle dans la presse, CarrierIQ a diffusé un

communiqué. Ce communiqué expliquait pourquoi l’application collectait non seulement les informations

relatives à l’appareil et à son fonctionnement (batterie et charge, connexion à un réseau Wi-Fi), mais

également les informations relatives aux touches enfoncées et aux URL visitées. D’après CarrierIQ,

tout cela permet uniquement d’envoyer des informations de diagnostic à l’opérateur de téléphonie

mobile. En d’autres termes, cette application envoie des données qui indiquent, par exemple, que

l’utilisateur ne peut pas accéder à Facebook, mais ne transmet rien du contenu consulté. La société a

également déclaré que les données sont envoyées directement aux opérateurs de téléphonie mobile qui

sont les commanditaires.

Une seule question reste à poser : pourquoi l’utilisateur n’a-t-il aucun moyen de refuser cette

application et « l’aide pour la collecte d’informations de diagnostic » ?

Aujourd’hui, la problématique de la protection des données personnelles est plus actuelle que

jamais. Et de tels événements ne font que confirmer l’intérêt pour ce sujet. Ne va-t-on pas voir

apparaître une application semblable installée par d’autres opérateurs de téléphonie mobile ou

fabricants de téléphones ?

S’agissant des programmes spécialisés dans le vol d’argent, on retrouve toujours à l’avant-garde

les auteurs de virus russes qui ont commencé à produire à grande échelle des chevaux de Troie SMS pour

Android. De nouveaux partenariats qui permettent de générer automatiquement divers chevaux de Troie

SMS et qui proposent une sélection d’outils et de moyens pour leur diffusion (magasins d’applications

fictifs, QR Code, script, domaine réservé, etc.) ont fait leur apparition. Nous allons revenir sur

cette question plus tard.

Objectif : contrôle du périphériques

Les programmes malveillants dont l’objectif est de prendre les commandes de l’appareil ont été très

répandus en 2011 A l’heure actuelle, parmi les programmes malveillants pour Android, les portes

dérobées suivent de près les chevaux de Troie espion.

Les auteurs de virus chinois se sont lancés dans la production industrielle de portes dérobées. Il

faut signaler que la majorité de ces portes dérobées contient des codes d’exploitation dont l’unique

tâche est d’obtenir les privilèges root de l’appareil (c.-à-d., obtenir les privilèges de

superutilisateur ou obtenir les privilèges maximum sur cet appareil). Ainsi, l’individu malintentionné

obtient l’accès à distance complet à l’ensemble du smartphone. En d’autres termes, après l’infection

et l’exécution réussie du code d’exploitation, l’individu malintentionné peut réaliser à distance

pratiquement n’importe quelle opération depuis le smartphone.

Ce sont précisément les codes d’exploitation root qui ont jeté les bases de l’utilisation massive

des vulnérabilités dans les systèmes d’exploitation pour appareils mobiles. Ils sont extrêmement

populaires chez les auteurs de virus chinois. La majorité des codes d’exploitation utilisés sont

connus depuis longtemps et sont prévus pour des versions déjà anciennes d’Android. Mais dans la mesure

où une grande partie des utilisateurs actualise rarement le système d’exploitation, le nombre de

victimes potentiels demeure élevé.

Le bot IRC Backdoor.Linux.Foncy, détecté au début 2012, est peut-être l’exemple le plus frappant

(et le plus sérieux au niveau de la fonction) de porte dérobée. Cette porte dérobée se trouvait dans

un dropper APK (Trojan-Dropper.AndroidOS.Foncy) qui contenait également un code d’exploitation

(Exploit.Linux.Lotoor.ac) pour obtenir l’autorisation root sur le smartphone et un cheval de Troie SMS

(Trojan-SMS.AndroidOS.Foncy).

Le dropper crée un répertoire (/data/data/com.android.bot/files) dans lequel il copie le code

d’exploitation, le bot IRC et le cheval de Troie, puis il exécute le code d’exploitation root. Si

l’exécution du code d’exploitation réussit, celui-ci lance à son tour la porte dérobée qui commence

par installer dans le système le cheval de Troie SMS Foncy (nous en parlons dans le chapitre consacré

aux chevaux de Troie SMS). Il faut préciser que la porte dérobée doit installer et lancer le fichier

APK du cheval de Troie SMS car avant cela, le dropper se contente de copier le cheval de Troie dans le

système:

 
Procédure d’installation

du cheval de Troie SMS Trojan-SMS.AndroidOS.Foncy

La porte dérobée, après le lancement du cheval de Troie SMS, tente d’établir une connexion à un

serveur IRC distant sur le canal #andros avec des pseudos aléatoires. Ensuite, il peut recevoir

n’importe quelle instruction shell depuis ce serveur et l’exécuter sur l’appareil infecté.

Programme malveillant sur Android Market

Un autre casse-tête en 2011 aura été la présence de programmes malveillants dans la boutique

officielle d’applications pour Android. Le premier cas de ce genre fut enregistré au début du mois de

mars 2011 et par la suite les programmes malveillants sont apparus régulièrement sur Android Market.

La popularité d’Android, la simplicité de la création d’applications, la possibilité de les diffuser

via une source officielle et l’inefficacité du contrôle des nouvelles applications afin d’écarter tout

programme malveillant ont joué une mauvaise blague à Google. Les individus malintentionnés n’ont pas

hésité à exploiter tous ces facteurs et nous nous sommes retrouvés face à une situation où des

programmes malveillants sont diffusés via Android Market non pas pendant quelques heures ou quelques

jours, mais pendant des semaines, voire des mois, ce qui se traduit par un nombre élevé

d’infections.

Chevaux de Troie SMS

En 2011, le développement du comportement le plus populaire parmi les programmes malveillants pour

plateforme mobile a subi quelques modifications. Tout d’abord, les chevaux de Troie SMS ne sont plus

un problème que pour les seuls utilisateurs russophones. Deuxièmement, les attaques contre les

utilisateurs russophones sont devenues bien plus importantes. Troisièmement, la plateforme J2ME n’est

plus l’environnement principal où vivent les chevaux de Troie SMS.

Au cours du premier semestre 2011, les chevaux de Troie SMS ont continué à dominer les autres

comportements de programmes malveillants pour plateformes mobiles. Ce n’est que vers la fin de l’année

que le fossé a commencé à se combler, principalement à cause de l’activité des auteurs de virus

chinois qui créaient des portes dérobées et des chevaux de Troie espion.

Au début de l’année 2011, de nombreux utilisateurs de périphériques mobiles recevaient

régulièrement des SMS indiquant qu’ils avaient reçu un cadeau MMS d’une certaine Katy. Comme il

fallait s’y attendre, il n’y avait aucun « cadeau » à récupérer en cliquant sur le lien du message.

Rien d’étonnant non plus à ce que le fichier JAR accessible via ce lien soit en réalité un cheval de

Troie SMS. Dans presque tous les cas de diffusion que nous avons détectés, les programmes malveillants

appartenaient à la famille Trojan-SMS.J2ME.Smmer. Ces chevaux de Troie ont une fonction assez

primitive, mais si l’on tient compte de l’ampleur des diffusions et des fréquences de celles-ci, cela

n’a pas empêché les individus malintentionnés d’infecter un nombre considérable d’appareils mobiles.

L’ampleur de ces diffusions était bien supérieure à celles des diffusions antérieures. Les téléphones

mobiles de dizaines de milliers d’utilisateurs étaient exposés régulièrement à un risque

d’infection

En 2008, 2009 et 2010, J2ME était la principale plateforme pour laquelle des chevaux de Troie SMS

étaient développés. Un changement est intervenu en 2011 et désormais, ce sont les chevaux de Troie

pour Android qui sont les plus populaires. Dans l’ensemble, ils ne se différencient pratiquement pas

de leurs confrères pour J2ME. Les modes de dissimulation sont identiques : il s’agit principalement

d’imitations d’applications légitimes comme Opera ou JIMM. Et ils se diffusent également comme les

chevaux de Troie pour J2ME, à savoir à l’aide de partenariats. Bien souvent, un même partenariat se

spécialise à la foi dans les programmes malveillants pour J2ME et dans les programmes malveillants

pour Android.

Avant 2011, les chevaux de Troie SMS visaient principalement les utilisateurs en Russie, en Ukraine

et au Kazakhstan. Mais en 2011, les auteurs de virus chinois ont commencé à créer et diffuser

activement des chevaux de Troie SMS. Toutefois, les programmes malveillants avec seulement une

fonction de cheval de Troie SMS ne sont pas très populaire auprès des auteurs de virus chinois. La

fonction d’envoi de SMS vers des numéros payants n’est qu’un aspect de la diversité des comportements

des programmes malveillants originaires de Chine.

Nous avons également enregistré les premières attaques contre des utilisateurs en Europe et en

Amérique du Nord. Un des pionniers fut le cheval de Troie GGTracker qui visait des utilisateurs aux

Etats-Unis. L’application se dissimulait sous les traits d’un utilitaire de réduction de la

consommation de la batterie du smartphone alors qu’en réalité elle abonnait l’utilisateur à un service

payant via des SMS.

Un autre exemple marquant est la famille de chevaux de Troie Foncy. Malgré l’aspect primitif de la

fonction, Foncy est devenu le premier programme malveillant à s’en prendre aux utilisateurs d’Europe

de l’Ouest et du Canada. Et des modifications ultérieures de ce programme attaquaient non seulement

des utilisateurs de pays d’Europe de l’Ouest et du Canada, mais également des Etats-Unis, de Sierra

Leone et du Maroc. Certains indices nous font penser que les auteurs de ce programme malveillant ne se

trouvent pas en Russie.

Le cheval de Troie Foncy possède deux caractéristiques. Tout d’abord, il est international. Le

programme malveillant est capable de déterminer le pays de la carte SIM de l’appareil infecté et sur

la base de cette information, il change le préfixe et le numéro de téléphone pour l’envoi du SMS.


Liste partielle des numéros surtaxés de différents pays

dans le corps du cheval de Troie Foncy

Ensuite, le cheval de Troie envoie aux individus malintentionnés un rapport sur le travail réalisé.

En général, le cheval de Troie envoie, à l’insu de l’utilisateur, un SMS à un numéro surtaxé pour le

paiement d’un service ou l’autre. Il peut s’agir de l’accès au contenu d’un site ou à une archive,

l’abonnement aux messages diffusés d’un site, etc. Le téléphone reçoit le SMS de confirmation du

paiement que l’application dissimule. Foncy transmet le texte de ces confirmations et le numéro

surtaxé d’origine à ses propriétaires. Au début ces informations étaient tout simplement transmises

par SMS au numéro des individus malintentionnés. Les modifications suivantes du cheval de Troie les

chargeaient directement sur le serveur de ces mêmes individus.

 
Procédure de transfert de

certains SMS reçus

Il est évident que les individus malintentionnés obtiennent ainsi des informations sur le nombre de

SMS payants envoyés et sur le nombre d’appareils infectés par Foncy.

L’homme du milieu mobile

La première attaque de l’homme du milieu contre des appareils mobiles a été enregistrée en 2010.

Toutefois, c’est en 2011 que ce type d’attaque s’est surtout développé avec l’apparition des

programmes malveillants ZitMo et SpitMo sous différentes plateformes (ZitMo pour Windows Mobile et

ZitMo et SpitMo pour Android) et les individus malintentionnés ont progressivement perfectionné les

fonctions des programmes malveillants.

Les

chevaux de Troie ZitMo (ZeuS-in-the-Mobile) et SpitMo (SpyEye-in-the-Mobile), qui fonctionnent en

binôme avec les versions traditionnelles de ZeuS et SpyEye, figurent parmi les programmes malveillants

les plus complexes détectés ces derniers temps. Voici leurs particularités :

  • Travail en binôme. Seuls, ZitMo ou SpitMo ne sont que des logiciels espions traditionnels capables

    de transmettre des SMS. Toutefois, leur association à la version « classique » de ZeuS ou de SpyEye a

    permis aux individus malintentionnés de déjouer la protection des transactions bancaires qui repose

    sur l’utilisation d’un code mTAN.

  • Spécialisation pointue des chevaux de Troie : transfert au numéro des individus malintentionnés ou

    sur leur serveur des messages entrants contenant les codes mTAN qui sont ensuite utilisés par les

    cybercriminels pour confirmer les transactions financières réalisées au départ de comptes en banque

    compromis.

  • Multiplateforme. Il existe des versions de ZitMo pour Symbian, Windows Mobile, Blackberry et

    Android tandis que SpitMo peut tourner sous Symbian et Android.

Parmi les événements les plus importants, il convient de signaler la confirmation de l’existence de

ZitMo sous Blackberry et l’apparition d’une version de ZitMo et de SpitMo pour Android. Cette

apparition est intéressante car cette plateforme mobile populaire avait été ignorée pendant assez

longtemps par les auteurs de ces programmes malveillants.

A l’avenir, les attaques à l’aide de ZitMo, de SpitMo ou de programmes malveillants similaires

visant le vol des codes mTan (ou d’autres informations secrètes transmises via SMS) vont se

poursuivre. Mais il est probable que ces attaques seront ciblées et ne porteront que sur un nombre

restreint de victimes.

QR Code : nouveau mode de diffusion des programmes malveillants

Les QR code sont de plus en plus populaires et on les retrouve de plus en plus souvent dans

diverses publicités, sur des badges, etc. pour offrir un accès rapide et simple à certaines

informations. C’est pourquoi les premiers QR Code malveillants ne se sont pas fait attendre.

Aujourd’hui, les utilisateurs de smartphone recherchent souvent des applications pour leur appareil

à l’aide d’un ordinateur classique. Dans ce cas, pour pouvoir télécharger l’application sur le

smartphone, l’utilisateur doit saisir manuellement l’URL dans le navigateur de son téléphone. Ce n’est

pas très pratique et c’est pourquoi on retrouve des QR Code sur les pages des sites qui proposent des

applications pour smartphone.

De nombreux programmes malveillants pour appareils mobile (surtout les chevaux de Troie SMS) se

propagent via des sites où toutes les applications sont malveillantes. Outre des liens directs vers

les programmes malveillants, les cybercriminels ont commencé à utiliser sur ces sites des QR Codes

malveillants dans lesquels le lien vers l’application malveillante est encodé.

Ce sont des cybercriminels russes qui ont été les premiers à tester cette technologique : les QR

codes malveillants dissimulaient des chevaux de Troie pour Android et J2ME.


Exemple de QR Code malveillant
(« Just enter the following link into your phone’s browser»)

Aujourd’hui, les attaques réalisées à l’aide de QR Code ne sont heureusement pas généralisées.

Toutefois, au fur et à mesure que cette technologie va être adoptée par les utilisateurs, elle va

devenir populaire auprès des individus malintentionnés. De plus, les QR Code malveillants sont

utilisés non pas par un seul créateur de virus (mais par un groupe de créateurs) et ils sont diffusés

à l’aide des tristement célèbres partenariats, ce qui va contribuer rapidement au renforcement de leur

popularité chez les cybercriminels.

Hacktivisme mobile : les balbutiements

Tout au long de l’année 2011, nous avons observé une véritable explosion de l’activité des

individus malintentionnés motivés non pas par le gain, mais par la volonté de protester contre les

hommes politiques, les organismes publics, les grandes sociétés et l’Etat, voire de se venger de

ceux-ci. Des pirates aux motivations politiques se sont introduits dans les systèmes les plus

protégés, ils ont diffusé les données de centaines de milliers de personnes à travers le monde et même

les systèmes à la pointe des technologies n’ont pas échappé aux attaques par déni de service distribué

organisées à l’aide des réseaux de zombies des hacktivistes.

Les programmes malveillants dont l’action porte un certain caractère politique appartiennent à

cette catégorie. De tels programmes ont fait leur apparition pour les systèmes d’exploitation

mobiles.

La menace que nous avons détectée sous le nom Trojan-SMS.AndroidOS.Arspam vise les utilisateurs des

pays arabes. Cette application de navigation de type cheval de Troie a été diffusée sur les forums de

langue arabe. La principale fonction de ce cheval de Troie est de diffuser des SMS contenant un lien

vers un forum consacré à Mohamed

Bouazizi à un contact sélectionné au hasard sur l’appareil (Mohamed Bouazizi s’est immolé à Tunis,

ce qui a marqué le début de grandes manifestations dans le pays, puis la révolution.)

De plus, Arspam tente de définir le code ISO du pays où est utilisé le smartphone. Si la valeur est

égale à BH (Barhein), le programme malveillant tente de charger sur le smartphone un fichier PDF

contenant un rapport de la Bahrain Independent Commission of Inquiry sur les violations des droits de

l’Homme.

Il s’agit peut-être pour l’instant du seul cas de programme malveillant d’hacktivisme pour appareil

nomade mais on peut supposer que nous allons certainement rencontrer d’autres programmes similaires en

2012.

Conclusion

Au moment de dresser le bilan de l’année dernière, nous pouvons affirmer sans crainte que 2011 aura

été une année clé dans le développement des menaces pour appareils mobiles. Toute d’abord, en raison

de l’augmentation marquée du nombre de programmes malveillants. Ensuite, parce que les individus

malintentionnés ont choisi Android comme cible principale des attaques. Troisièmement, parce qu’en

2011 les individus malintentionnés ont automatisé la production et la diffusion des programmes

malveillants.

Que va donc nous réserver 2012 ? En bref, voici nos prévisions :

  • Poursuite de la croissance de l’intérêt des auteurs de virus pour appareil nomades pour la

    plateforme Android qui vont consacrer leurs efforts à la création de programmes malveillants sous

    cette plateforme.

  • Augmentation du nombre d’attaques à l’aide de vulnérabilités. Alors qu’actuellement les codes

    d’exploitation sont utilisés uniquement pour obtenir les privilèges root sur le smartphone, en 2012

    nous nous attendons à voir les premières attaques dans le cadre desquelles les codes d’exploitation

    seront utilisés pour infecter le système d’exploitation.

  • Augmentation du nombre d’incidents impliquant des programmes malveillants sur les magasins

    officiels d’application, tout d’abord sur Android Market.

  • Premiers vers de diffusion massive pour Android.
  • Développement de l’espionnage sur appareils mobiles.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *