Virologie mobile, 6ème partie

Sommaire

Introduction

La publication de la cinquième partie de notre compte-rendu régulier sur le développement des programmes malveillants pour appareils mobiles remonte à un an. Le temps est venu de dresser le bilan de l’année 2012 : voir si nos prévisions se sont vérifiées ; présenter des données quantitatives et qualitatives sur le développement des programmes malveillants ; analyser les principales tendances de l’évolution non seulement des programmes malveillants, mais également des attaques réalisées à l’aide de ceux-ci. Nous devons également nous livrer au jeu des prévisions sur le développement des programmes malveillants et des attaques contre les appareils mobiles en 2013.

Quelles prévisions avions-nous avancées pour 2012 ? En bref, nous avions avant tout misé sur la poursuite de la croissance du nombre de programmes malveillants pour Android car nous avions supposé que les cybercriminels concentreraient leurs efforts sur cette plateforme. Cette prévision a été confirmée. Les individus malintentionnés ont en effet concentré pratiquement tous leurs efforts sur la création et la propagation de programmes malveillants pour ce système d’exploitation.

Nous avions également formulé l’hypothèse que les cybercriminiels allaient commencer à utiliser d’autres méthodes d’infections des appareils en plus du code d’exploitation root pour Android qui confère un accès total au système : nous allions voir apparaître les premières attaques par téléchargement à la dérobée qui exploitent des vulnérabilités dans Android. Cela n’a pas été le cas, car à l’étape actuelle du développement des programmes malveillants pour Android, les cybercriminels n’ont tout simplement pas besoin d’organiser ce genre d’attaques car les utilisateurs eux-mêmes sont encore et toujours très actifs dans l’infection de leurs appareils mobiles.

Les premiers vers de masse pour Android, et plus exactement les vers par SMS, ne se sont pas matérialisés non plus.

Nous avions également soutenu que le nombre d’incidents impliquant la détection de programmes malveillants dans les magasins d’applications officiels allait augmenter. Nous avons malheureusement eu raison. Outre l’apparition à intervalles réguliers de divers programmes malveillants dans Google Play (dont le nombre de victimes pouvait aller de quelques dizaines à quelques dizaines de milliers), nous avons enregistré pour la première fois l’apparition d’une application malveillante dans l’App Store pour iOS.

Notre prévision sur l’apparition des premiers réseaux de zombies mobiles pour Android s’est vérifiée. Il faut signaler la grande diversité des réseaux de zombies détectés, tant au niveau de la répartition géographique des infections que du nombre d’appareils infectés et des fonctions.

Les prévisions citées ci-dessus ne touchaient que la plateforme la plus populaire à l’heure actuelle, à savoir Android. S’agissant des autres plateformes et systèmes d’exploitation pour appareils mobiles, nous avions affirmé que la tendance générale serait marquée par l’utilisation de programmes malveillants pour Symbian, Blackberry, etc. dans le cadre d’attaques ciblées. Les attaques menées à l’aide de ZitMo et SpitMo (ZeuS et SpyEye-in-the-mobile) sont des exemples marquants de ce phénomène. Cette prévision est également devenue réalité. Et la famille des programmes malveillants qui volent les codes mTAN (ZitMo et SpitMo) s’est agrandie : un autre cheval de Troie d’attaque contre les banques (Carberp) s’est doté d’une version mobile qui, selon la tradition désormais établie par ZitMo et SpitMo, a été baptisée CitMo (Carberp-in-the-mobile).

Deux autres prévisions générales, mais très importantes, se sont matérialisées. Elles vont jouer un rôle déterminant dans la suite de l’évolution des attaques contre les plateformes mobiles. La première est l’émergence d’un secteur à part entière de développement de programmes malveillants pour appareils mobiles. La deuxième est l’élargissement des activités d’espionnage des appareils mobiles, pratiqué jusque-là par les forces de l’ordre ou quelques agences de détectives privés.

Ce sixième volet de notre série sur la « Virologie mobile » est consacré aux événements liés au développement de programmes malveillants pour appareils mobiles qui ont marqué l’année 2012.

Statistiques

Ce chapitre présente diverses statistiques sur le développement des programmes malveillants pour appareils mobiles. Outre les données sur l’augmentation du nombre de programmes malveillants, sur la dynamique de leur apparition et sur la répartition par plateforme et comportement, nous avons intégré également des données obtenues via le service dans le nuage KSN qui est désormais accessible via notre logiciel de protection pour Android.

Principales statistiques pour 2012

Le phénomène le plus marquant pour l’année 2012 aura été la croissance explosive du nombre de programmes malveillants pour Android. Voyez par vous-même : alors qu’en 2011, nous avions détecté près de 5 300 nouveaux programmes malveillants pour toutes les plateformes mobiles, après quelques mois en 2012, le nombre de programmes malveillants pour Android dépassait ce chiffre. Et au niveau du nombre total de fichiers malveillants uniques, ils sont déjà plus de 6 millions.

Le nombre total de modifications et de familles de programmes malveillants pour plateforme mobile dans la collection de Kaspersky Lab au premier janvier 2013 se décline de la manière suivante :

Plateforme Modifications Famille
Android 43600 255
J2ME 2257 64
Symbian 445 113
Windows Mobile 85 27
Autres 28 10
Total 46415 469

Le rythme de croissance du nombre de programmes malveillants pour appareils mobiles ne cesse de s’accélérer ; 40 059 modifications de programmes malveillants pour appareils mobiles sur 46 415 et 138 familles sur 469 ont fait leur entrée dans notre collection en 2012.

S’agissant de la répartition par plateforme, le diagramme ci-dessous illustre clairement la situation :



Répartition des programmes malveillants (2004-2012) par plateformes

Alors qu’à la fin de l’année 2011, la part de programmes malveillants pour Android était de l’ordre de 65 %, à la fin de l’année 2012 la part de programmes malveillants pour cette plateforme dans notre collection atteignait 94 %.

99 % de tous les programmes malveillants pour appareils mobiles détectés en 2012 visaient des appareils Android. Dès la fin du premier semestre 2012, il était devenu évident que les programmes malveillants pour ce système d’exploitation allaient occuper une position dominante pour les deux années à venir. Le succès remporté par Android en tant que plateforme pour appareils mobiles en a fait une cible de choix pour les auteurs de virus. La formule « SE le plus répandu » + « Installation d’applications depuis n’importe quelle source » => « Nombre le plus élevé de programmes malveillants » fonctionne toujours.

Programmes malveillants pour Android les plus répandus

Nous avons lancé au printemps 2012 notre service KSN dans le nuage pour notre logiciel antivirus pour appareils mobiles sous Android. Cela nous a permis non seulement d’offrir une protection supplémentaire, mais également d’obtenir des informations statistiques intéressantes sur les modifications de programmes malveillants les plus souvent rencontrées chez les utilisateurs.

Les objets les plus souvent détectés sur les téléphones mobiles Android peuvent être scindés en trois catégories principales : les chevaux de Troie par SMS, les logiciels publicitaires et les codes d’exploitation permettant d’obtenir les privilèges root sur le smartphone.


Détections d’objets malveillants pour Android les plus répandues

Les programmes malveillants pour Android les plus prisés des individus malintentionnés ont été les chevaux de Troie par SMS qui visaient principalement des utilisateurs en Russie. Il n’y a rien d’étonnant à cela : l’envoi de SMS surtaxé depuis des appareils infectés à l’insu de l’utilisateur demeure la source de revenus principale des cybercriminels spécialisés dans les plateformes mobiles.

Le deuxième groupe de programmes malveillants du Top 10 contient les modules de publicité Plangton et Hamob. La première famille est détectée en tant que cheval de Troie et ce n’est pas un hasard. Plangton se retrouve dans les applications gratuites et affiche bel et bien des publicités. Il contient toutefois une fonctionnalité complémentaire qui permet de changer la page d’accueil du navigateur à l’insu de l’utilisateur, ce qui est considéré comme un comportement malveillant. S’agissant d’ AdWare.AndroidOS.Hamob, il désigne toute application qui se fait passer pour un programme utile quelconque mais qui en réalité ne fait que montrer des publicités aux utilisateurs.

Le troisième groupe, quant à lui, réunit diverses modifications de Lotoor, des codes d’exploitation qui permettent obtenir les privilèges root sur les smartphones Android de différentes versions.

Menaces pour les utilisateurs

En 2012, nous avons observé une hausse sensible du nombre d’incidents impliquant des programmes malveillants pour Android, même si les individus malintentionnés n’ont pas oublié les programmes malveillants pour les autres systèmes d’exploitation mobiles. Nous vous présentons ici les incidents les plus marquants.

Réseaux de zombies mobiles

Si l’on souhaite être précis, le premier réseau de zombies mobiles est apparu en automne 2009. A cette époque, le deuxième programme malveillant pour appareils iOS jailbreakés avait été détecté. Il était capable de recevoir et d’exécuter des commandes envoyées depuis un serveur distant. Mais il s’agissait simplement d’une démonstration de la possibilité de voir apparaître dans un avenir proche des réseaux de zombies regroupant des appareils mobiles.

L’apparition en 2012 de réseaux de zombies intégrant des appareils mobiles sous Android ne fut pas une surprise.  Le premier cas inquiétant fut la détection en janvier d’un bot IRC pour Android qui fonctionnait en coopération avec un cheval de Troie par SMS. Cette paire de programmes malveillants fut baptisée Foncy.


Icône de Foncy « MADDEN NFL 12 » après l’installation

Outre le cheval de Troie par SMS et le bot IRC, le dropper APK contenait également un code d’exploitation root.  Une fois exécuté, le code d’exploitation dans le système infecté prenait les privilèges root, puis le bot IRC était lancé et enfin, le cheval de Troie par SMS était installé et exécuté. Une fois que le cheval de Troie par SMS avait rempli sa fonction, il s’arrêtait et le bot IRC restait en exécution pour attendre d’autres commandes. Ainsi, ce bot IRC était en mesure de contrôler le smartphone après l’infection. En fait, tous les smartphones infectés par le bot IRC Foncy formaient un réseau de zombies et étaient prêts à réaliser n’importe quelle action à la demande de leur « maître ».

La police française a interpellé deux personnes soupçonnées d’avoir créé et diffusé ce programme malveillant. D’après les données de l’enquête, les auteurs du virus avaient infecté plus de 2 000 appareils et avaient gagné près de 100 000 euros. Il s’agissait du premier cas d’arrestation de personnes soupçonnées d’avoir créé et diffusé un programme malveillant pour appareils nomades.

Un réseau de zombies mobile dont le nombre de membres actifs oscillait entre 10 000 et 30 000 appareils, pour un total de smartphones infectés de plusieurs centaines de milliers, fut détecté en février. Il avait été mis en place par des auteurs de virus chinois. Ce réseau de zombies reposait sur la porte dérobée RootSmart qui offre diverses fonctionnalités pour l’administration à distance d’un appareil mobile sous Android. Pour diffuser RootSmart, les cybercriminels utilisaient une astuce vieille comme le monde : ils remballaient une application légitime et la proposaient sur un des nombreux sites non officiels mais très fréquentés pour la diffusion d’applications pour Android. Les personnes qui croyaient avoir téléchargé une application pour configurer leur appareil obtenaient en plus une porte dérobée chargée d’inclure l’appareil mobile dans le réseau de zombies.

L’ampleur de l’infection par RootSmart a permis aux individus malintentionnés de gagner de l’argent avec ce réseau composé de téléphones infectés. Pour ce faire, ils ont choisi la méthode privilégiée des cybercriminels mobiles, à savoir l’envoi de SMS à un numéro surtaxé. Les individus malintentionnés ont utilisé les numéros les moins chers pour que les victimes mettent le plus de temps à découvrir les retraits d’argent de leur compte mobile. Grâce au contrôle complet de l’appareil nomade, les individus malintentionnés pouvaient masquer le plus longtemps possible la présence de l’application malveillante sur le téléphone et retirer ainsi pendant plus longtemps de l’argent du compte.

Nous avons également rencontré en 2012 des portes dérobées qui heureusement n’avaient pas eu le temps d’infecter un nombre significatif d’appareils mais certaines caractéristiques les rendent intéressantes.

Le programme malveillant pour appareil mobile baptisé Cawitt est un programme curieux en raison du mécanisme qu’il utilise pour obtenir les noms de domaines du centre de commande. Il utilise pour cela Twitter. Le corps du programme malveillant contient des lignes utilisées pour créer, caractère par caractère, des pseudonymes d’utilisateurs du réseau social. Après avoir créé des noms d’utilisateur imaginaires, la porte dérobée envoie une requête au serveur Twitter afin d’obtenir les tweets de ces derniers. Ce sont ces tweets qui contiennent les noms des domaines des centres de commande.


Exemples de tweets du centre de commande

Et pour pouvoir commencer à recevoir les commandes du centre de commandes, Cawitt crée une requête POST pour le domaine dont le nom a été obtenu dans Twitter et ajoute la chaîne « /carbontetraiodide » au nom de domaine. Suite à cette requête, le bot reçoit une instruction.

Un autre programme malveillant intéressant qui a été découvert à la fin de l’année 2012 est un bot de courrier indésirable pour Android baptisé SpamSold. Il s’agissait du premier programme malveillant pour appareils mobiles dont la principale fonction consiste à diffuser des SMS non sollicités depuis les appareils infectés.

La porte dérobée tente de masquer sa présence sur le smartphone en supprimant son icône et en chargeant la version gratuite d’un jeu sous les traits duquel elle se présente. Ensuite, SpamSold envoie la requête GET suivante au centre de commande :


Requête GET de SpamSold

Il reçoit en réponse le texte du SMS à envoyer ainsi que les 100 premiers numéros auxquels envoyer les messages.


Réponse du serveur

Après avoir reçu la réponse, le bot tente d’envoyer des SMS contenant le texte reçu aux numéros fournis, puis quand il a épuisé la liste, SpamSold contacte à nouveau le serveur afin d’obtenir une nouvelle liste de numéros et le texte des SMS. Le programme malveillant dissimule les SMS envoyés, ce qui contribue également à dissimuler sa présence.

Heureusement, les individus malintentionnés n’ont pas réussi à mettre en place un grand réseau de zombies. Mais le simple fait de voir l’utilisation de programmes malveillants dans la diffusion de SMS non sollicité nous amène à penser que les programmes malveillants dotés de fonctions similaires vont se manifester à plusieurs reprises en 2013.

Chasseurs de codes mTAN

En 2012, certains nouveaux programmes malveillants ont été exploités dans le cadre d’attaques ciblées. Les attaques menées à l’aide de ZitMo et SpitMo (ZeuS et SpyEye-in-the-mobile) sont des exemples marquants de ce phénomène. Ces programmes malveillants ont été développés pour intercepter les SMS envoyés par les services de transactions bancaires en ligne et qui contiennent les codes mTAN d’autorisation des transactions bancaires.

De nouvelles versions de ZitMo et SpitMo sont apparues régulièrement aussi bien pour Android que pour d’autres systèmes d’exploitation. Les auteurs de virus utilisent les mêmes techniques de dissimulation qu’il y a deux ans. Soit, ils se cachent derrière des « certificats de sécurité », soit ils se présentent comme une application pour la protection des smartphones. Les utilisateurs téléchargent en réalité des programmes malveillants.


Dissimulation de ZitMo sous les traits d’une application de protection

La popularité d’Android ne signifie pas que les utilisateurs ont complètement abonné les autres systèmes d’exploitation. Ainsi, les auteurs de virus ne prêtent absolument aucune attention aux rumeurs sur la disparition prochaine de Blackberry. La preuve en est qu’en 2012, de nouvelles versions de ZitMo ont été diffusées pour cette plateforme. De plus, lors d’une vague d’attaques, les individus malintentionnés ont utilisé des programmes malveillants pour Blackberry et pour Android. Du moins, le numéro de commande qu’ils renfermaient était identique.

Certaines nouvelles modifications de ZitMo pour Android ont commencé à ressembler à leurs « confrères » pour d’autres plateformes. Alors qu’au début ZitMo pour Android possédait une fonctionnalité assez primitive (principalement, l’interception des messages entrants contenant les codes mTAN), les versions plus récentes du cheval de Troie contenaient un large éventail d’instructions exploité par les auteurs du programme malveillant pour contrôler son fonctionnement.


Exemples de quelques commandes de ZitMo pour Android

Avant 2012, des attaques visant à voler les codes mTAN avaient été enregistrées uniquement dans quelques pays européens comme l’Espagne, l’Italie, l’Allemagne, la Pologne, etc. Les utilisateurs de diverses plateformes pour appareils nomades étaient menacés : Android, Blackberry, Symbian, Windows Mobile. Le tour de la Russie est arrivé vers la fin de l’année 2012, ce qui correspond à la hausse croissante de la popularité des services de transactions bancaires sur Internet dans ce pays. Les auteurs de virus sont naturellement sensibles à cette popularité. Le cheval de Troie Carberp, qui fonctionne selon un principe similaire à celui de ZeuS, s’est doté d’une version mobile : Trojan-Spy.AndroidOS.Citmo.

Le cheval de Troie CitMo, à l’instar du compère de ZeuS ZitMo, est capable de masquer les SMS entrants contenant les mTAN et de les transmettre aux individus malintentionnés. Les différentes versions de CitMo envoient les SMS interceptés soit aux numéros de téléphone des cybercriminels, soit sur les serveurs distants de ceux-ci.

Une des versions de Carberp modifiait la page d’accueil du système de transactions bancaires en ligne d’une banque russe. Un avis sur cette page invitait l’utilisateur à télécharger et installer une application soit disant indispensable à l’accès au système. L’utilisateur pouvait recevoir le lien de téléchargement de cette application par SMS après avoir renseigné son numéro de téléphone, ou en scannant un QR code.


QR Code en guise de méthode de téléchargement du programme malveillant

Le lien menait vers l’application SberSafe (Trojan-Spy.AndroidOS.Citmo) qui est resté pendant deux semaines dans Google Play.

Une fois que l’application malveillante avait été lancée, un message invitant la victime potentielle à saisir son numéro de téléphone portable s’affichait à l’écran de l’appareil. Le numéro saisi était enregistré dans un fichier auth.txt qui était envoyé au serveur distant des individus malintentionnés. Après quelques temps, l’utilisateur recevait un SMS contenant un code à 5 chiffres à saisir dans l’application. Ce code était écrit dans le fichier authcode.txt et servait, avec le numéro de téléphone, d’identificateur des données que le programme malveillant envoyait ensuite au serveur des individus malintentionnés.

Dans le cadre d’une attaque visant à voler les codes mTAN, le cheval de Troie doit absolument masquer les SMS envoyés par le service de transactions bancaires sur Internet. Dans le cas contraire, ces messages pourraient éveiller les soupçons de la victime lorsque les individus malintentionnés tentent de transférer des fonds depuis le compte compromis.

CitMo téléchargeait depuis le serveur des individus malintentionnés les informations relatives aux numéros d’envoi des SMS à masquer et à transmettre au serveur distant (dans le fichier hide.txt) et celles relatives aux messages qui pouvaient être affichés (dans le fichier view.txt). CitMo vérifiait l’expéditeur chaque fois qu’un message était reçu. Si les données de l’expéditeur correspondaient à un enregistrement du fichier hide.txt, le message reçu était dissimulé et enregistré dans le fichier messages.txt qui était envoyé au serveur distant des individus malintentionnés.

Chevaux de Troie SMS

L’évolution des méthodes les plus populaires parmi les individus malintentionnés pour gagner de l’argent à l’aide des programmes malveillants pour appareils nomades se poursuit. Alors qu’en 2011 une des tendances les plus intéressantes avaient été l’apparition de chevaux de Troie visant les utilisateurs dans les pays d’Europe et d’Amérique du Nord, 2012 aura été marqué par la découverte de programmes de partenariat pour la diffusion de chevaux de Troie ciblant les utilisateurs de ces pays. Comme nous le savons, les partenariats figurent parmi les outils les plus efficaces pour créer et diffuser des programmes malveillants et gagner de l’argent à l’aide de ceux-ci.

Une famille de chevaux de Troie par SMS pour Android baptisée Vidro fut détectée en 2012. Elle visait les utilisateurs en Pologne. Le cheval de Troie par SMS en lui même n’avait rien de particulier. Il faut toutefois signaler une particularité qui a son importance : le cheval de Troie se propageait via les sites pornographiques d’un programme de partenariat mobile pour la monétisation du trafic pornographique.

Le programme malveillant était téléchargé depuis le domaine malveillant vid4droid.com. Ce domaine est contrôlé par deux serveurs de nom dotés de l’adresse carmunity.de, tandis que le serveur de messagerie vid4droid.com se trouve sur tecmedia.eu. Il existe quelques hôtes (par exemple, sex-goes-mobile.biz, sexgoesmobile.biz, sexgoesmobil.com) dont les serveurs de nom et les serveurs de messagerie sont les mêmes que pour vid4droid.com. L’utilisateur qui accède à un de ces hôtes est redirigé vers sexgoesmobile.com. Ce site est le site d’un partenariat pour la monétisation du trafic mobile pour adulte.


Page principale du partenariat SexGoesMobile.com

De nombreux partenariats mobiles (pour le moins russes) offrent un accès complet à ce qu’on appelle les « outils de promotion » de tous les participants. Le partenariat SexGoesMobile ne fait pas exception. Chaque partenaire dans SexGoesMobile possède son propre identifiant. Le partenaire peut créer un site mobile à l’aide d’un des modèles existants (chaque modèle possède son propre nom de domaine), générer une URL unique avec son ID menant à vid4droid.com et placer cette URL sur son site.

L’utilisateur qui clique sur n’importe quel lien du site modèle arrive sur le site vid4droid.com. Pendant ce temps, sur le serveur distant, une séquence unique de chiffres et de lettres est générée sur la base du « referrer » (URL unique avec ID du partenaire).  Sur le site vid4droid.com, l’utilisateur était invité à télécharger le fichier vid4droid.apk présenté comme une application pornographique mais qui était en réalité le cheval de Troie Vidro.

Une fois téléchargé sur l’appareil de l’utilisateur, le cheval de Troie envoyait au numéro surtaxé polonais 72908 un message contenant le texte « PAY {séquence unique de chiffres et de lettres}« , soit la même séquence de chiffres et de lettres que celle obtenue sur la base de l’URL et de l’ID du partenaire. Ainsi, chaque partenaire volait l’argent des utilisateurs à l’aide de son « propre » cheval de Troie par SMS qui envoyait des messages avec un texte unique.

L’émergence de partenariats similaires au-delà des frontières de la Russie ou de l’Ukraine permet d’affirmer que le secteur des programmes malveillants pour appareils mobiles est devenu une réalité non seulement en Russie, mais dans d’autres pays également.

Incidents dans les magasins d’applications officiels

Malgré l’introduction du module antivirus Google Bouncer (analyse automatique de toute nouvelle application chargée sur Google Play, ex Android Market) par Google, le nombre moyen d’incidents et leur ampleur n’ont enregistré aucune modification digne d’être citée.

Les incidents provoquant le plus grand nombre d’infections sont ceux qui attirent souvent l’attention, par exemple le cas du programme malveillant Dougalek dont la copie a été téléchargée par des dizaines de milliers d’utilisateurs, principalement au Japon. Cela a débouché sur une des plus importantes fuites d’informations personnelles suite à l’infection d’un appareil mobile. Quelques temps après cet incident, la police de Tokyo a arrêté 5 personnes soupçonnées d’avoir créé et diffusé ce programme malveillant, ce qui constituait la deuxième arrestation d’auteurs de programmes malveillants pour appareils nomades en 2012.

Un autre événement a fait beaucoup parlé de lui en 2012 : la première détection d’un programme malveillant pour iOS dans l’App Store. Au début du mois de juillet, nous avons détecté une application suspecte appelée « Find and Call » qui était proposée à la fois dans l’App Store et dans Android Market.


Application Find and Call installée

Après avoir téléchargé et lancé cette application, l’utilisateur était invité à s’inscrire en saisissant son adresse de messagerie électronique et son numéro de téléphone. Si l’utilisateur essayait ensuite de trouver des amis dans son carnet d’adresses à l’aide de cette application, tous ses contacts étaient chargés à son insu sur un serveur distant au format suivant :

Après un certain temps, chaque numéro du répertoire téléphonique volé recevait un SMS non sollicité contenant un lien pour télécharger l’application « Find and Call ».

Après la publication des informations relatives à cet incident, nous avons reçu des messages qui nous demandaient pourquoi cette application était considérée comme malveillante. Elle est malveillante car elle envoie le carnet d’adresses de l’utilisateur vers un serveur distant à son insu dans le but de diffuser des messages non sollicités.

Heureusement, cet incident est pour l’instant le seul cas confirmé d’une présence d’un programme malveillant dans l’App Store pour iOS.

Cyber-espionnage

L’année dernière, nous avions supposé que le vol de données sur des appareils mobiles et le suivi d’un individu par le biais de son téléphone et des services de géolocalisation deviendraient des phénomènes courants. Cette hypothèse s’est malheureusement vérifiée. Le nombre de programmes malveillants qui peuvent être classés parmi les chevaux de Troie d’espionnage ou les portes dérobées en fonction de leur comportement a été multiplié par 100. Il faut signaler également l’augmentation du nombre d’applications commerciales de surveillance qui, parfois, se distinguent à peine des programmes malveillants.

Plusieurs épisodes remarquables se sont déroulés dans l’histoire de l’espionnage mobile. Rappelez-vous le SMS contenant un lien vers un logiciel d’espionnage diffusé en 2009 sous la forme d’une mise à jour de sécurité aux abonnés utilisateurs de Blackberry d’un des plus grands opérateurs des Emirats arabes unis. Il ne faut pas oublier non plus l’intérêt des gouvernements de plusieurs pays pour l’accès aux communications cryptées réalisées par les Blackberry.

Voici les événements les plus retentissants en matière de cyber-espionnage mobile enregistrés en 2012 :

  • Découverte de versions mobiles du module d’espionnage FinSpy développé par l’éditeur britannique Gamma International ;
  • Divulgation des détails techniques de l’opération de cyber-espionnage baptisée Red October au cours de laquelle des données et des informations secrètes ont été volées sur des ordinateurs et des périphériques réseau des organisations attaquées (structures diplomatiques et gouvernementales), mais également depuis les appareils mobiles des fonctionnaires.

Ces deux cas méritent une attention particulière.

FinSpy

La version mobile de FinSpy fait partie du portefeuille de la société britannique Gamma International. Les premières informations relatives à l’existence d’un tel système de surveillance à distance ont fait surface au cours du premier semestre 2011. Au cours de la même année, des informations laissant entendre qu’il existait des versions mobiles de FinSpy étaient apparues. Ce n’est qu’en août 2012 que l’organisation The Citizen Lab a pu analyser des exemplaires des versions mobiles de FinSpy pour Android, iOS, Windows Mobile, Symbian et Blackberry.

Ces modifications de FinSpy pour ces différentes plateformes possèdent de nombreuses fonctionnalités communes :

  • enregistrement des appels entrants/sortants ;
  • appels masqués pour l’écoute ;
  • vol d’informations du smartphone (journaux des appels, SMS/MMS, contacts, etc.) ;
  • suivi des coordonnées géographiques ;
  • communication avec le centre de commande par SMS/Internet.

Mais la version pour chaque plateforme possède des caractéristiques propres. Ainsi, la version de FinSpy pour Symbian est capable de prendre des captures d’écran ; FinSpy pour Blackberry surveille également les communications via Blackberry Messenger ; la version pour Android est capable d’activer/de désactiver le mode « hors-ligne » ; FinSpy pour iOS peut être installé sur une sélection restreinte d’appareils portant un UDID concret ; la version pour Windows Mobile utilise des fichiers de configuration XML provisioning pour la modification des stratégies de sécurité.

La création et l’utilisation d’un fichier de configuration nommé 84c.dat est une particularité curieuse pour toutes les versions mobiles de FinSpy. Les mécanismes de sa création varient en fonction du système d’exploitation, mais à l’arrivée il contient les informations indispensables au fonctionnement du module espion (adresse du serveur de commande, numéro du centre de commande mobile, ports utilisés, etc.).


Fragment du fichier de configuration 84c.dat pour Android chiffré en base64

Mais la principale fonction des modules mobiles de FinSpy n’a rien de particulier ou d’unique. Nous avons déjà vu ce genre de fonctions à maintes reprises dans de nombreux logiciels espion commercialisés comme FlexiSpy ou MobileSpy. Ce qui distingue FinSpy, c’est son développeur : une société officiellement enregistrée en Grande-Bretagne qui, à en croire les informations présentées sur son site, se consacre au développement d’outils de surveillance à distance pour des organisations gouvernementales.

A l’heure actuelle, on ne connaît rien de l’identité des commanditaires des attaques de FinSpy et des victimes. Et il est peu probable que ces questions trouvent une réponse à l’avenir. Toutefois, même privés de ces informations, nous pouvons dire que l’apparition de FinSpy a marqué le début d’un nouveau chapitre consacré à l’espionnage dans l’histoire des programmes malveillants pour appareils nomades.

Red October

Toute personne qui avait encore des doutes à la fin de l’année 2012 sur la réalité du cyber-espionnage mobile a du se rendre à l’évidence après la publication des informations relatives à l’opération « Red October » : les appareils nomades étaient devenus la cible d’attaques ciblées ou d’espionnage à l’instar des ordinateurs traditionnels.

Nous disposons d’éléments qui nous permettent d’affirmer que les inconnus à l’origine de cette opération cherchaient à retirer des informations des appareils mobiles. Ces informations pouvaient être obtenues non seulement à l’aide d’un programme malveillant pour appareils mobiles, mais également à l’aide de modules pour Windows qui fonctionnent sur les appareils mobiles connectés à un ordinateur infecté. Nous allons exposer toutes les informations que nous possédons sur les modules mobiles de Red October, ainsi que les informations qui peuvent être associées d’une manière ou d’une autre à ceux-ci.

Un des modules de Red October baptisé RegConn est responsable de la collecte d’informations système et de données sur les applications installées et utilisées sur l’ordinateur infecté. Ces informations sont obtenues après lecture de certaines clés de la base de Registres (la liste des clés est reprise dans le module lui-même). Parmi celles-ci, il faut mettre en évidence les clés suivantes :


Clés du Registre dans le module RegConn

Ces clés sont liées d’une manière ou d’une autre à une application pour l’utilisation de l’appareil mobile (par exemple iTunes, Nokia PC Suite) qui peut être installée sur l’ordinateur infecté.

Un autre composant de Red October a été développé pour fonctionner avec iPhone. Ce module est chargé de récolter les informations sur le smartphone connecté à un ordinateur infecté par le module. Il utilise pour ce faire une bibliothèque d’iTunes baptisée CoreFoundation.dll. Il faut savoir que le module prévoit le lancement de deux services différents : un d’entre eux est exécuté si l’appareil mobile n’a pas été jailbreaké tandis que l’autre est exécuté si l’appareil a été compromis. Dans les deux cas, le module tente d’obtenir les informations suivantes :

  • Les informations relatives à l’appareil, depuis l’ID unique du smartphone jusqu’à la version du micrologiciel ;
  • Les fichiers portant les extensions suivantes : .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4, .m4a, .amr, .log, .cer, .em, .msg, .arc, .key, .pgp, .gpg ;
  • Le contenu des fichiers renfermant les informations relatives aux SMS, aux contacts, aux journaux des appels, aux notes, au calendrier, à la messagerie vocales, à l’historique de Safari et au courrier ;

Le module pour Nokia possède des fonctions similaires et recueille également les informations relatives à l’appareil, aux SMS/MMS, au calendrier, aux contacts, aux applications installées. Il tente également de trouver et d’obtenir les fichiers portant les extensions suivantes : .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc, .key, .pgp, .gpg. Pour fonctionner avec l’appareil mobile connecté à l’ordinateur infecté, le module utilise la bibliothèque ConnAPI.dll de l’application PC Connectivity Solution.

On ne peut ignorer les composants de Red October qui fonctionnent avec les appareils sous Windows Mobile. Ces modules sont organisés en deux groupes :

  1. Les modules qui fonctionnent sur l’ordinateur Windows infecté (ils interviennent dans l’infection/la mise à jour de l’appareil mobile Windows Mobile connecté à l’ordinateur) ;
  2. Les modules qui installent le composant Windows sur le smartphone Windows Mobile connecté.

Le premier groupe ne vise pas à collecter les informations présentes sur l’appareil Windows Mobile connecté. Sa tâche principale consiste à installer une porte dérobée sur le smartphone (ou à mettre à jour une porte dérobée installée). La porte dérobée installée sur le smartphone par le module du premier groupe possède le nom interne de « zakladka ».

Outre la porte dérobée, le composant Windows télécharge également sur l’appareil d’autres fichiers exécutables qui permettent de modifier la configuration de l’appareil, de lancer la porte dérobée, de la mettre à jour ou de la supprimer et de copier sur le smartphone un fichier de configuration spécial baptisé winupdate.cfg.

Ce fichier est chiffré d’origine. Une fois déchiffré, il ressemble à ceci :


winupdate.cfg déchiffré

Ce fichier contient les informations relatives aux codes MCC/MNC (Mobile Country Code/Mobile Network Code, soit le code pays et le code de l’opérateur de téléphonie). Nous avons compté 129 pays et plus de 350 opérateurs de téléphonie mobile dans ces différents pays.

Le composant de porte dérobée zakladka détermine les codes MCC/MNC du smartphone, compare les informations obtenues aux informations contenues dans le fichier winupdate.cfg et consigne le tout dans un fichier journal.

Le module zakladka tente pendant l’interaction avec le centre de commande d’envoyer la requête POST suivante aux adresses de centre de commande reprises dans le module (win-check-update.com ou, si ce domaine est inacessible, mobile-update.com) :

En guise de réponse du serveur distant, le module reçoit le fichier qui est enregistré dans Windows%u.exe et qui est lancé.

Nous avons déjà évoqué les domaines de centre de commande et outre win-check-update.com et mobile-update.com, il faut cite également les noms de centres de commande supposés que nous avons détectés :

  • cydiasoft.com
  • htc-mobile-update.com
  • mobile-update.com
  • playgoogle-market.com
  • security-mobile.com
  • world-mobile-congress.com

Nous pouvons tirer les conclusions suivantes.

Tout d’abord, nous savons qu’il existe plusieurs modules Red October développés pour voler des informations sur différents types d’appareils mobiles.

Deuxièmement, il existe des indices (liste de clés de registres, noms de domaines) qui indiquent que Red October possédaient des modules capables de fonctionner avec d’autres appareils mobiles, notamment sous Android et Blackberry, mais nous ne les avions pas encore détectés à la publication de cet article.

Conclusion

Depuis l’apparition des programmes malveillants pour appareils mobiles, chaque année a été marquée par des événements et des incidents qui déterminent l’étape suivante de l’évolution des programmes malveillants mobiles. Et à ce titre, l’année 2012 aura été peut-être une des années les plus significatives. Pourquoi ?

Toute d’abord, le nombre de programmes malveillants pour appareils mobiles a sensiblement augmenté au cours de cette année.

Deuxièmement, Android a confirmé sa qualité de cible principale pour les cybercriminels.

Troisièmement, les menaces pour appareils mobiles se sont internationalisées. A l’heure actuelle, les cybercriminels ne sont plus intéressés uniquement par les utilisateurs russes et chinois d’appareils mobiles. De graves incidents ayant entraîné de sérieux dommages ont été enregistrés dans d’autres pays.

Quatrièmement, nous avons pu constater que les appareils mobiles et les données qu’ils contiennent sont intéressantes non seulement pour les cybercriminels traditionnels, mais également pour divers organisations à l’origine d’attaques semblables à Red October.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *