Post on 24-Sep-2020
G Data Malware Report
Rapport semestriel
Juillet – Décembre
G Data SecurityLabs
Report
Rapport semestriel
Décembre 2012
Copyright © 2013 G Data Software AG 1
G Data MalwareReport H2/2012
Sommaire
Vue d’ensemble ....................................................................................................................................................................... 2
Codes malveillants : faits et chiffres .............................................................................................................................. 3
Une croissance qui faibli ................................................................................................................................................... 3
Catégories de malwares.................................................................................................................................................... 3
Plateformes : “Tous contre Windows !” ....................................................................................................................... 4
Les malwares sous Android ............................................................................................................................................. 5
Baromètre des risques .......................................................................................................................................................... 6
Site web : Analyse sémantique et géographique .................................................................................................... 8
Catégorisation par thème ................................................................................................................................................ 8
Catégorisation géographique ........................................................................................................................................ 9
Banque en ligne .................................................................................................................................................................... 10
Les attaques d’ampleur .................................................................................................................................................. 10
Les prévisions .................................................................................................................................................................... 11
Android: un système attractif pour les utilisateurs… et les cybercriminels ........................................... 12
Adware: La nouvelle tendance de 2012 ................................................................................................................... 12
Des malwares sur le Google Play Store .................................................................................................................... 14
Des codes malveillants de plus en plus perfectionnés ....................................................................................... 14
Les Botnets sur le terrain du mobile .......................................................................................................................... 15
Prévisions ............................................................................................................................................................................ 16
Copyright © 2013 G Data Software AG 2
G Data MalwareReport H2/2012
Vue d’ensemble • Le nombre total de nouveaux malwares a baissé sur le second semestre 2012. Cette année
aura été relativement identique à 2011, avec une légère augmentation de 2,4%.
• En moyenne, 6 915 nouvelles souches de malwares sont créées tous les jours.
• Le nombre de familles de malware est légèrement plus élevé (2 483 sur ce second semestre) que sur la première partie de l’année.
• En termes de catégories, le nombre de backdoor a augmenté. Ils sont maintenant la deuxième catégorie la plus représentée devant les spyware et les downloader (3e et 4e).
• Le nombre de souches de malware de la catégorie « tools » a explosé en 2012. Cette
catégorie inclut, par exemple, les kits d’exploitation de failles sur le web ou de récupération
de coordonnées bancaires.
• La proportion de malware sous Windows reste stable à 99,8% mais la part des codes programmés en .NET s’est accru de manière significative.
• G Data Security Labs a reçu 139 817 nouveaux fichiers malveillants sous Android – soit cinq fois plus que sur le premier semestre 2012.
• Opérations bancaires en ligne : Citadel, le malware clone du célèbre ZeuS a atteint le haut
du classement devant Bankpatch et Sinowal.
• Les Adware se font un peu moins présents sur PC mais gagnent du terrain sur les plateformes mobiles.
• Sur toutes les plateformes, les attaquants tentent de faire le maximum de profit pour le minimum d’efforts.
Évènements • La découverte de miniFlame comme nouveau composant du cyberespionnage.
• Les malware Mahdi et Gauss sont reliés à l’espionnage.
• Les opérateurs de Botnet passent maintenant par Tor pour leur communication et envoient
leurs commandes via le service Google Docs.
• L’ingénierie sociale est un vecteur clé pour de nombreuses cyberattaques.
• Au second semestre, Java, le logiciel d’Oracle a fait les gros titres suite à la découverte de plusieurs vulnérabilités critiques.
Perspectives pour le premier semestre 2013
• Le nombre de nouvelles souches de malware devrait rester au même niveau.
• Les activités des chevaux de Troie bancaire vont devenir plus difficiles à détecter.
• Nous nous attendons à voir ces malwares utiliser le réseau chiffré Tor.
• De nouvelles méthodes d’attaques devraient apparaitre grâce aux technologies émergentes - telles que le NFC.
Copyright © 2013 G Data Software AG 3
G Data MalwareReport H2/2012
Codes malveillants : faits et chiffres
Une croissance qui faibli Comparé au premier semestre 2012, le nombre de souches de malware a reculé sur le second
semestre. G Data SecurityLabs a enregistré 1 258 479 nouveaux types de malware sur cette période1,
soit 123 488 de moins que sur le semestre précédent.
Dans l’ensemble, 2012 a été relativement identique à 2011 même si la tendance qui devait nous
amener à trois millions de nouveaux malwares n’a pas été respectée (le nombre actuel de malwares a atteint 2 640 446). Évidemment, ce nombre reste très élevé et il ne faut pas oublier qu’il s’agit que
des nouvelles signatures et non du nombre total des malwares en circulation.
Sur les six derniers mois, certains indices font penser que les auteurs de malware se concentrent sur
la qualité de leur code plutôt que sur la quantité et que ceci pourrait expliquer la baisse constatée.
Catégories de malwares Les codes malveillants peuvent être regroupés selon leur fonctionnalité principale. Le Graphique 2 qui suit montre les catégories les plus importantes.
1 Les chiffres de ce rapport sont basés sur l’identification des codes par leurs signatures. Elles sont basées sur des similarités dans le code. Des codes malveillants semblables sont rassemblés dans des familles, dans lesquelles des écarts mineurs sont considérés comme des variantes. Les fichiers complètement différents constituent la base de leurs propres familles. Le nombre repose sur des variantes de nouvelles signatures créées dans la seconde moitié de 2012.
Graphique 1 : Nombre de nouveaux malware par an depuis 2006.
Copyright © 2013 G Data Software AG 4
G Data MalwareReport H2/2012
Le groupe des chevaux de Troie (aussi appelés « troyens ») domine toujours les autres catégories. Cette famille rassemble une grande variété de malwares avec des fonctionnalités diverses : rançon ou faux antivirus par exemple et s’installent en infectant les ordinateurs via, notamment, des portes dérobées. Le nombre de backdoors a aussi augmenté de manière constante sur le dernier semestre
et cette catégorie arrive maintenant en seconde position devant les spywares et les downloader. Le nombre de malwares dans la catégorie « tools » poursuit son ascension débutée il y a maintenant un an. Cette catégorie pointe actuellement à la 6e place de notre classement. L’explication de ce phénomène tient à l’explosion du nombre de programmes qui exploitent les vulnérabilités web et détournent les opérations bancaires.
La baisse du nombre d’adware est notable. Cette tendance se retrouve dans les attaques
enregistrées par le G Data SecurityLabs et que l’on retrouve plus en détail dans la partie "baromètre
des risques" de ce rapport.
Plateformes : “Tous contre Windows !” Comme les programmes normaux, les malwares sont développés pour une plateforme spécifique.
Windows a, depuis des années, une part très élevée dans cet univers2. La fin de l’année 2012 ne
change pas ce constat. La proportion des malwares sous .NET (MSIL) a connu une hausse
significative comme le montre le tableau 1.
2 Malware pour Windows signifie ici que les fichiers exécutables au format PE appartiennent au Microsoft intermediate Language (MSIL). MSIL est un format intermédiaire utilisé dans l’environnement de programmation .net. La plupart des applications .NET sont indépendantes de la plateforme, mais elles sont pratiquement toutes utilisées sous Windows
Graphique 2 : Nombre de nouveau malware par catégorie sur les six derniers semestres.
Copyright © 2013 G Data Software AG 5
G Data MalwareReport H2/2012
Plateforme
#2012 H2 part #2012 H1 part
Diff. #2012 H2 #2012H1
Diff. #2012 #2011
1 Win 1,223,419 97.2% 1,360,200 98.4% -10.06% +2.37% 2 MSIL 33,020 2.6% 18,561 1.4%3 +77.90% +26.78% 3 WebScripts 1,087 0.1% 1,672 0.1% -34.99% -50.06% 4 Java 426 <0.1% 662 <0.1% -35.65% +95.33% 5 Scripts4 392 <0.1% 483 <0.1% -18.84% -39.99% Tableau 1 : Top 5 des plateformes sur les deux derniers semestres.
La comparaison annuelle entre 2012 et 2011 fait apparaitre une chute de 50% des nouveaux scripts web. Cependant, ceci ne signifie pas forcément qu’il y a moins de danger en provenance des sites web. En effet, ici sont recensées les nouvelles signatures et non les attaques enregistrées. Vous trouverez plus d’informations à ce sujet dans la partie « baromètre des risques ».
Dans le même temps, le nombre de nouveaux malwares ciblant la plateforme Java a suivi une
trajectoire inverse : il a pratiquement doublé. Une des explications est à trouver dans les
vulnérabilités récurrentes qui ont marqué l’actualité de cette plateforme5 pendant toute l’année
2012. Des vulnérabilités qui ont, manifestement, attiré l’attention des cybercriminels.
Les malwares sous Android Différentes données peuvent être
utilisées pour compter les malwares
sous Android. L’une d’entre est le
nombre de fichiers malveillants. Sur le
second semestre 2012,139 818
fichiers sont arrivés dans le
SecurityLabs de G Data6, soit cinq fois
plus que sur la période précédente.
Malheureusement, il est difficile de
retracer la chronologie de diffusion de
tous ces échantillons, car la date
exacte du premier enregistrement de
chaque échantillon n'est pas toujours
connue.7 Le graphique 3 montre la
diffusion de tous les échantillons dont
la date d’apparition a été clairement
établie.
3 Une erreur d’arrondie dans le précédent rapport a été corrigée ici passant ce chiffre de 1,3% à 1,4%. 4 Les Scripts sont des fichiers batch ou des scripts/programmes écrits en VBS, Perl, Python ou Ruby. 5 http://blog.gdatasoftware.com/blog/article/cve-2012-4681-a-java-0-day-is-going-to-hit-big-time.html http://blog.gdatasoftware.com/blog/article/the-new-java-0-day-exploit-actively-endangers-web-surfers.html
6 Les malwares sous Android peuvent être identifiés sur la base de plusieurs fichiers. Le package d’installation (APK) contient de nombreux fichiers qui incluent le code et les propriétés d’autres éléments. Le comptage ne prend en compte que les fichiers APK même s’ils sont composés de plusieurs fichiers. 7 63.8% des nouveaux fichiers malveillants du second semestre 2012 n’ont pas de date connue. Ces fichiers ont été attribués sur les trois à six derniers mois.
Family # variants
FakeInst 90
SMSAgent 80
Ginmaster 63
Opfake 55
Agent 46 Graphique 3 : diffusion des fichiers dont la date d’apparition est connue.
Copyright © 2013 G Data Software AG 6
G Data MalwareReport H2/2012
Comme les signatures virales8, les fichiers malveillants peuvent être assignés à certaines familles de malware et leurs variantes. 88 900 fichiers malveillants trouvés sur Android peuvent être classés dans 1 132 variantes et 314 familles. 131 nouvelles familles sont apparues au second semestre 2012. Le Tableau 2 montre quelles familles ont le plus de variantes.
À l’instar de ce que l’on constate sur PC, la plupart des malwares pour mobile sont des chevaux de Troie.9 La proportion de nouveaux
adware reste faible. Cependant, les attaques de cette nature sur cette plateforme viennent tout juste de commencer et nous nous attendons à ce qu’elles prennent une part plus importante. En effet, les adware génèrent des profits en affichant des publicités (voir le paragraphe « Adware: La nouvelle tendance de 2012 »).
Les prévisions d’accroissement du nombre de nouveaux malwares et du nombre de familles étaient correctes. Nous avions aussi prévu que de nouveaux scénarios d’attaques allaient s’intégrer dans de nouvelles familles de malware. (Vous trouverez plus d’informations sur ce sujet dans le paragraphe «
Android: un système attractif pour les utilisateurs… et les cybercriminels ».)
Baromètre des risques Le nombre d’attaques d’utilisateurs des solutions G Data (et ayant activé MII)10 a aussi augmenté sur
ce second semestre. L’analyse des données établit le classement suivant :
Rank Name Percent
1 Win32:DNSChanger-VJ [Trj] 9.24%
2 Trojan.Wimad.Gen.1 3.10%
3 Win64:Sirefef-A [Trj] 1.99%
4 Trojan.Sirefef.HU 1.15%
5 Trojan.Sirefef.GY 1.11%
6 Trojan.Sirefef.HH 0.86%
7 Exploit.CVE-2011-3402.Gen 0.78%
8 Trojan.Sirefef.HK 0.75%
9 Generic.JS.Crypt1.C14787EE 0.61%
10 JS:Iframe-KV [Trj] 0.58%
Le premier constat est que le troyen Sirefef, aussi appelé Zero Access, et ses différentes versions est très bien représenté dans ce classement. Dans le précédent rapport, nous avions déjà mentionné la
8 Le compte des signatures et des variantes est basé sur les signatures des solutions G Data MobileSecurity. 9 cf. Graphique 2 10La Malware Information Initiavie (Mll) tire sa puissance de sa communauté en ligne et tous les utilisateurs ayant acquis une solution de sécurité G Data peuvent y participer. Seul prérequis: l'activation de cette fonction dans l'un des programmes de G Data. Par la suite, chaque fois qu'un malware est détecté et supprimé, un rapport totalement anonyme est ajouté à la base statistique de G Data Security Labs.
Famille # variantes
FakeInst 90
SMSAgent 80
Ginmaster 63
Opfake 55
Agent 46
Tableau 2 : Liste des familles de malwares sous Android avec le plus de variantes (2e semestre 2012)
Tableau 3: Le top 10 des attaques enregistrées par MII sur S2 2012
Copyright © 2013 G Data Software AG 7
G Data MalwareReport H2/2012
famille des chevaux de Troie et leur structure modulaire. Elle est notamment utilisée pour les fraudes au clic qui rapportent beaucoup d’argent à ceux qui les mettent en place.
Sur les six derniers mois, il y a eu tellement de variantes que ce malware a pris le contrôle du top 10. Si toutes les variantes étaient additionnées sous une seule signature, Sirefef figurerait parmi les premières places… ce qui donnerait une vision plus claire de ce classement.
A la première place, la présence de Win32:DNSChanger-VJ [Trj] s’explique notamment par son utilisation très courante dans les infections perpétrées par les malwares de la famille Sirefef.
Même si Sirefef est utilisé notamment pour les fraudes au clic, aucun adware (malware dont les ressources proviennent d’une activité proche : les bandeaux publicitaires) ne s’est hissé dans notre top 10. Ceci confirme la tendance que nous avions déjà notée au premier semestre (cf. graphique 2).
Le décompte du malware Generic.JS.Crypt1.C14787EE de notre top 10 peut comporter un biais.
En effet, ce code peut à la fois être détecté lorsqu’un site web utilise un code javascript spécifique
pour afficher un bandeau publicitaire, mais aussi quand un cybercriminel veut générer
artificiellement des clics supplémentaires et accroitre ses gains dans les systèmes de rémunération
au clic.
Pour finir, on compte un nouvel entrant dans notre top 10 : Exploit.CVE-2011-3402.Gen. Cette signature, qui exploite la vulnérabilité CVE-2011-3402 est apparue dans les documents infectés
(documents Microsoft Word ou d’autres fichiers textes). Cette vulnérabilité permet notamment
d’exécuter des fonctions malveillantes comme télécharger et exécuter des malwares
supplémentaires.
Copyright © 2013 G Data Software AG 8
G Data MalwareReport H2/2012
Site web : Analyse sémantique et géographique
Catégorisation par thème Si l’on analyse les thèmes utilisés par les auteurs de sites web malveillants, beaucoup de choses se
sont passées lors de ce second semestre 2012.11
Le top 10 représente maintenant 88.6%
des thématiques abordées par les sites
observés, soit 17.9% de plus qu’au premier
semestre 2012. Il couvre donc la presque
totalité des sujets sur lesquels les
cybercriminels ont mis l’accent.
Les Forums, nouvel arrivant dans ce
classement pointe directement au
quatrième rang. Autre nouvelle catégorie,
les sports arrivent, eux, en huitième
position. Les jeux et la musique ont
disparu du top 10.
Dans le top 3, les thématiques
Technologie & Télécommunications,
Éducation et professionnel ont beaucoup
plus servi de plateforme pour des
opérations d’hameçonnage Paypal que sur
la période précédente. La thématique
Voyage avait aussi servi à ce type
d’hameçonnage sur le semestre précédent.
(Pour plus de détails sur les fraudes bancaires en ligne voir page 11.)
Les catégories Forums et Blogs sont
souvent reliés à des malwares. Ceci est dû
aux nombreuses vulnérabilités dont
souffrent quantité de système de forum et
de blog. Les cybercriminels utilisent les
moteurs de recherche pour les lister et lancent des attaques automatisées afin d’y placer leurs codes
malveillants. Un mécanisme qui leur permet de toucher un grand nombre de victimes sans effort.
Sans surprise, la thématique Pornographie fait aussi partie de notre top 10. Cependant, il faut faire une distinction entre les sites web réputés de ce domaine et les sites frauduleux. Ces derniers sont
souvent classés dans les sites malveillants, car ils proposent des mises à jour supposées
indispensables pour visionner leurs contenus et qui sont, en réalité, des programmes malveillants.
Dans d’autres cas, il s’agit de véritable hameçonnage et les sites contrefaits tentent de récupérer des
données personnelles ou des coordonnées bancaires. Les sites légitimes sont évidemment
concernés par cette menace et font de gros efforts pour adapter leurs infrastructures réseau en
conséquence.
11 Dans ce contexte, les sites web malveillants rassemblent à la fois les sites d’hameçonnage et ceux qui propagent des codes malveillants.
Figure 4: Top 10 des sites infectés par thème (2e semestre 2012)
Copyright © 2013 G Data Software AG 9
G Data MalwareReport H2/2012
Conclusion :
Ces six derniers mois, nous avons donc assisté à une concentration des sujets utilisés par les
cybercriminels pour attirer les internautes. Évidemment, ceci ne signifie pas que la menace se limite
à ses thématiques.
Encore une fois, nous voyons que les blogs sont particulièrement bien représentés dans notre
classement. Ceci confirme la tendance déjà notée dans notre précédent rapport. Les attaques de
masse sur les systèmes de gestion de contenu (CMS) sont toujours aussi populaires et restent
d’actualité. Ces attaques correspondent bien à la façon de faire des cybercriminels : le moindre effort
pour le plus d’efficacité possible dans la diffusion des malwares et la garantie d’un retour financier
conséquent.
Catégorisation géographique En plus de l’analyse thématique, il est intéressant de relever la distribution géographique des sites
web malveillants. Notre carte ( Graphique 5 ) montre la concentration de sites par pays.
Le principal enseignement que l’on peut tirer de cette carte est que, grâce à leurs bonnes
infrastructures, certaines régions du monde sont particulièrement attractives pour l’hébergement
de sites web malveillants.
C’est évidemment le cas des États-Unis et de l’Europe avec des pays comme l’Allemagne, la France,
l’Espagne et la Grande-Bretagne. Autre élément notable, les attaques en provenance de la Chine
ont encore augmenté par rapport au premier semestre 2012.
Le nombre de pays qui ne sont pas du tout touchés par l’hébergement de sites malveillants s’est
encore réduit. G Data SecurityLabs enregistre maintenant un très petit nombre de zones
« blanches ». Le centre de l’Afrique reste, par exemple, épargné. (On note cependant que les pays
Graphique 5 : Carte des pays hébergeant des sites web malveillants
Localisation moins populaire
Localisation plus populaire
Copyright © 2013 G Data Software AG 10
G Data MalwareReport H2/2012
limitrophes sont maintenant touchés). Ceci est évidemment dû au très faible nombre de sites web
hébergés dans ces zones. (La majorité l’est en Afrique du Sud).
Banque en ligne Lors de ce second semestre, plusieurs tendances intéressantes ont été notées dans le secteur des
chevaux de Troie bancaire. Le nombre d’infections a été divisé par trois entre juillet et décembre
2012.
Tableau 4: part des chevaux de Troie bancaire détecté par BankGuard sur Q1 et Q2 2012
L’une des raisons de cette baisse tient à l’arrestation de plusieurs cybercriminels de ce secteur sur le
premier semestre de l’année.12 Il est apparu que seulement quelques développeurs étaient à
l’origine du développement de la plupart des chevaux de Troie ce qui a pratiquement stoppé
l’arrivée de nouveaux codes malveillants. Cela a aussi permis aux éditeurs d’antivirus de mieux
prendre en charge cette menace. Si l’on fait le décompte des chiffres, l’ensemble des chevaux de
Troie a perdu du terrain (Graphique 6). SpyEye a pratiquement disparu. Citadel, le clone de Zeus
prend la tête de notre classement devant Bankpatch et Sinowal.
Les attaques d’ampleur Les nouveaux chevaux de Troie tels que Shylock et Tilon, n’ont pas encore atteint des taux
d’infection élevés par rapport à leurs « confrères ». Seul Tatanga semble prendre un peu
d’importance. Autre cas intéressant : Prinimalka13. Ce troyen ferait partie d’une attaque de grande
ampleur à l’encontre des utilisateurs de banques américaines, attaque appelée « Project Blitzkrieg ».
À ce jour, aucune date du début de cette opération n’a été découverte. G Data n’a, pour l’instant,
enregistré aucun taux d’infection significatif de ce code malveillant.
12 G Data SecurityLabs avait déjà évoqué cet élément lors du précédent rapport semestriel. 13 http://krebsonsecurity.com/2012/10/project-blitzkrieg-promises-more-aggressive-cyberheists-against-u-s-banks/ https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/
Q3 2012 Bankpatch 29.1% Citadel 25.5% ZeuS 23.3% Sinowal 16.3% Spyeye 3.1% Others 2.7% Q4 2012 Citadel 24.0% Bankpatch 22.8% ZeuS 17.9% Sinowal 13.2% Tatanga 10.1% Others 12.0%
Graphique 5: Part des chevaux de Troie bancaire détectés par BankGuard sur le 2nd semestre 2012
Copyright © 2013 G Data Software AG 11
G Data MalwareReport H2/2012
Une attaque qui, elle a déjà eu lieu est l’opération « High Roller ». Elle a été détectée au début de ce
second semestre et a utilisé les vieux chevaux de Troie ZeuS et SpyEye. L’algorithme utilisé pour récupérer les transactions avait, lui, été amélioré à tel point qu’il était possible d’enregistrer des
données même lorsque l’authentification se faisait avec une carte à puce.
L’opération « High Roller » s’est attaquée spécifiquement à des comptes richement dotés comme
ceux de sociétés. De grosses sommes d’argent ont été transférées vers les comptes de « mules ». Le
montant des détournements n’est pas connu à ce jour. Des sources parlent de sommes oscillant
entre 60 millions et 2 milliards d’euros. Une part de ces sommes a probablement été bloquée par les
banques sans que l’on puisse déterminer le montant réellement volé. À noter que leurs technologies
développées par G Data BankGuard sont capables de prévenir ce type d’attaques.
Les prévisions Difficile de dire quel troyen bancaire sera en tête du peloton en 2013. Bankpatch a connu une telle
chute de son taux d’infection que le futur de ce code malveillant n’est pas assuré. Les auteurs de
Citadel semblent faire profil bas pour le moment… tout semble plaider pour un statut quo au
niveau du classement. On peut prédire l’arrivée de nouveaux clones de Zeus, mais ils ne devraient
pas atteindre les « performances » de Citadel en termes de taux d’infection.
Plusieurs éléments indiquent que Carberp pourrait faire son retour : au marché noir, son code est en vente et la découverte d’une version mobile pourrait le relancer14.
Pour le reste, nous ne pensons pas que la baisse des infections via des chevaux de Troie bancaire
devrait se poursuivre en 2013. Les fortes sommes d’argent que peuvent rapporter ces programmes
vont attirer de nombreux cybercriminels. Et ce, malgré les menaces de poursuites judiciaires.
Ces poursuites ont non seulement alerté les développeurs, mais aussi les utilisateurs de codes
malveillants. Des discussions ont été lancées sur les forums underground sur l’utilisation du réseau
14 Voir graphique 8.
Graphique 6: Évolution du nombre d’infection pour les cinq chevaux de Troie les plus courant au second semestre 2012
Copyright © 2013 G Data Software AG 12
G Data MalwareReport H2/2012
Tor pour les communications de ces programmes malveillants.15 Cette technique a déjà été utilisée
pour de récents botnets tels que Skynet.
Jusqu’à présent, l’Europe de l’Est a été le centre du commerce de chevaux de Troie bancaire. Ces
opérations étaient même menées à « ciel ouvert ». Des actions ont été menées pour faire
comprendre aux cybercriminels que cette impunité était terminée. Ce commerce devrait
rapidement devenir beaucoup plus opaque. Il est aussi possible que ces activités migrent vers des
pays où les poursuites judiciaires seront moins courantes.
Android: un système attractif pour les utilisateurs… et les cybercriminels Lors de ce second semestre 2012, G Data s’est aussi penché sur les menaces qui pèsent sur les
smartphones et les tablettes. Ce marché en pleine expansion continue d’offrir de grandes opportunités aux cybercriminels sans trop demander de moyens. Les malwares apparus sur ce
secteur comportent notamment des adaptations de codes malveillants déjà très connus, mais aussi
de nouvelles approches. Deux tendances se concrétisent : Les malwares se complexifient et leur
nombre s’accroit16
Adware: La nouvelle tendance de 2012 Le développement des adware dans les périphériques mobile contraste avec leur raréfaction sur
PC.17 Sur mobile, le meilleur moyen de faire de l’argent est d’envoyer des SMS surtaxés, mais la tâche
est plus ardue. En effet, l’installation demande des autorisations, et nécessite la participation active de l’utilisateur. Sur le Google Play Store l’installation demande obligatoirement la confirmation de
l’utilisateur, les auteurs de malwares sont donc plus enclins à utiliser les marchés alternatifs où les
codes sont moins, voire pas du tout, surveillés. Depuis la version 4.2 d’Android, la sécurité a même
été renforcée puisqu’une liste des droits accordés à chaque application apparait avant son
installation.
Malheureusement, il n’y a pas grand-chose à faire pour aider les utilisateurs de la génération « clic et
oublie » qui acceptent sans rechigner les programmes les plus douteux.
15 http://blog.gdatasoftware.com/blog/article/botnet-command-server-hidden-in-tor.html 16 cf. chapitre “ Les malwares sous Android“ page 5. 17 Voir page 4 et page 7.
Graphique 7: selection de malwares pour mobile apparus en 2012
Copyright © 2013 G Data Software AG 13
G Data MalwareReport H2/2012
Un nouveau business lucratif implique même des applications listées dans Google Play Store. Un adware préalablement installé sur le smartphone ou la tablette permet de facturer des services en passant outre l’autorisation de l’utilisateur. En dehors d’afficher des publicités, les adware peuvent aussi proposer aux utilisateurs de télécharger des applications additionnelles qui se révèleront souvent être des malwares.
Sur la seconde partie de l’année 2012, les utilisateurs d’Android ont
notamment été confrontés au cheval de Troie
Android.Trojan.FakeDoc.A, aussi appelé FakeDoc.A.18 Caché dans des applications du type « Battery Doctor », ce troyen vise les
données telles que la liste des contacts de sa victime. En apparence
l’application se limite à faire apparaitre le niveau de la batterie et à la
gestion des connexions wifi et Bluetooth. En arrière-plan, il en va
tout autrement : le cheval de Troie installe un service d’adware qui
fait apparaitre des publicités pour des applications malveillantes et
des sites web au contenu douteux. Ce service reste installé même
lorsque l’application est supprimée. Ainsi, il est même impossible
pour l’utilisateur de savoir quelle application est à l’origine de cette
infection.
Les auteurs d’Android.Trojan.MMarketPay.A, (MMarketpay.A), ont
utilisé une approche similaire pour diffuser leur code malveillant. Les
applications « trojanisée », comme « Go Weather », « Travel Sky » et
« ES Datei Explorer », étaient proposées en téléchargement sur des
sites chinois et des stores alternatifs.
Ces applications donnaient en apparence accès à quelques informations sur la météo. En tâche de
fond, le code malveillant se rendait sur des sites marchands chinois pour acheter des biens sans
aucune intervention de l’utilisateur19, MMarketpay.A faisait aussi la
publicité pour des applications supplémentaires, toutes avec leurs
lots de chevaux de Troie.
Ce type d’applications « trojanisées » a gagné du terrain pendant
toute l’année 2012. Petit raffinement apporté par les développeurs de
ces codes malveillants : les applications proposées sont différentes
suivant l’origine géographique de l’utilisateur (géolocalisé grâce à son
adresse IP). Lorsque l’utilisateur clique sur une offre, il est redirigé non
pas sur le Google Play Store mais vers des sources d’applications non
sécurisées : un store alternatif localisé en Asie, voire sur un site web
indépendant... De notre point de vue, les messages d’alertes
d’Android n’insistent pas assez sur la fiabilité des services de
téléchargement lors de l’installation d’une nouvelle application.
Même si le code malveillant de MMarketpay.A était limité au marché
chinois, il donne un bon aperçu du futur. Il ne faudrait que des
modifications mineures pour que ce type d’attaque puisse être utilisé
en Europe ou sur le marché américain. La volonté d’interconnecter les
boutiques d’applications va à l’encontre de la sécurité.
18 FakeDoc a été décrit en détail dans notre précédent rapport. 19 http://blog.gdatasoftware.com/blog/article/new-android-malware-goes-on-a-shopping-spree-at-your-expense.html
Screenshot 2: De la publicité pour des applications localisées sur un serveur chinois
Screenshot 1: Trojan MMarketpay se cachait dans une application fonctionnelle de météo
Copyright © 2013 G Data Software AG 14
G Data MalwareReport H2/2012
Des malwares sur le Google Play Store Même si, au début de l’année, Google a mis en place son système de vérification d’application, il y
avait encore des malwares sur le Google Play au second semestre 2012.
Android.Trojan.FindAndCall.A, (FindAndCall.A) en est un exemple.
Cette application que l’on trouve à la fois sur Google Play et sur l’App store d’Apple est un malware
qui envoie le détail des contacts de l’utilisateur vers un serveur défini par l’attaquant. Cette machine
peut alors envoyer des SMS non sollicités à toutes ces personnes. Ce message comportait en prime
un lien pour télécharger l’application malveillante. Ces SMS, émanant d’une personne connue,
auront bien plus de chance de convaincre le destinataire d’installer l’application recommandée.
À peu près au même moment que FindAndCall.A faisait parler de lui, des scientifiques américains
ont publié un rapport sur la manière dont ils avaient pu mettre en ligne sur Google Play une
application apparemment inoffensive, mais cachant de nombreuses fonctions malveillantes. Ce
malware, qui a pris en défaut Google’s Bouncer, n’était pourtant pas d’une conception très éloignée
des malwares « réels » (il envoyait un contact toutes les 15 minutes à un serveur au lieu d’un par
seconde pour les codes malveillants habituels).20 Ceci montre qu’il reste difficile de concevoir un
outil permettant de détecter tous les malwares. Les systèmes de sécurité mis en place par Google interviennent très tard pour supprimer ces codes indésirables de son magasin d’application. Une
protection additionnelle, sous la forme d’un logiciel de sécurité, installée sur le périphérique mobile,
est donc un impératif.
Des codes malveillants de plus en plus perfectionnés Les commentaires que l’on trouve dans les codes sources de ces malware laissent à penser que les
codes vont aller en se complexifiant. De nouvelles fonctions sont en passe d’être rajoutées. Par
exemple, FindAndCall.A contient un bout de code qui récupère la localisation GPS de l’utilisateur et l’envoi sur un serveur prédéfini. Bien que déjà présente dans le programme, cette fonction n’a pas
encore été activée.
Les biens nommés crimeware kits, qui facilitent grandement la tâche des cybercriminels sont aussi
présents sur le terrain des périphériques mobiles. Les malwares élaborés avec ces outils
professionnels fonctionnent très bien et sont plus difficiles à trouver que ceux créés par de mauvais
programmeurs. Ces kits génèrent principalement des chevaux de Troie… ce qui explique le grand
nombre de variantes trouvées sur les mobiles (voir Graphique 2, page 4.)
20 http://media.blackhat.com/bh-us-12/Briefings/Percoco/BH_US_12_Percoco_Adventures_in_Bouncerland_WP.pdf
Screenshot 3: Find And Call sur Google Play Screenshot 4: Find And Call sur l’ App Store d’Apple
Copyright © 2013 G Data Software AG 15
G Data MalwareReport H2/2012
Pour mémoire, les kits d’élaboration de malwares sont mis en vente sur les forums et sont d’un accès
très simple : on peut choisir les fonctionnalités à ajouter à son malware et le code est ajouté
automatiquement.
Les Botnets sur le terrain du mobile Les botnets sont bien connus du monde des ordinateurs. Les cybercriminels s’en servent pour, par
exemple, envoyer du spam, attaquer des sites web ou des serveurs (Ddos) ou encore pour récupérer
des données. La taille des botnets est extrêmement variable : de quelques ordinateurs à plusieurs
milliers d’ordinateurs « zombies » .
Les périphériques mobiles peuvent aussi rejoindre ces botnets si l’attaquant parvient à récupérer un
accès complet au terminal (accès root). Il peut y parvenir en exploitant des vulnérabilités non
corrigées du système d’exploitation.
Backdoor Android.Backdoor.SpamSold.A, (SpamSoldier.A) capture ses victimes avec une copie
illégale du jeu très connu Angry Birds. L’application infectée est proposée gratuitement en
téléchargement sur des marchés alternatifs ou sur des sites web. Une fois que le malware est installé
sur le téléphone, son serveur de commande et de contrôle envoie une liste de numéros de
téléphone surtaxés ou pas. Sans que l’utilisateur puisse le détecter, ces numéros sont contactés via
SMS/appel vocal aux frais de la victime. Une fois ces numéros exploités, le malware récupère une
nouvelle liste. L’utilisateur ne sera informé de ces envois/appels qu’à la réception de la note de
téléphone. Les montants peuvent être très élevés. L’arrivée des bots sur les mobiles a un objectif
clair : générer des profits rapidement et simplement !21
21 Voir graphique 9.
Graphique 8: schéma de la rémunération d’une attaque à partir d’un botnet en version « mobile »
Attaquant Commande vers le bot: SMS surtaxés
Service surtaxé
facturation Paiement
mobile infecté SMS/appel surtaxés
Copyright © 2013 G Data Software AG 16
G Data MalwareReport H2/2012
Prévisions Avec 1,3 million de nouveaux périphériques activés chaque jour, Android est une cible toujours plus
appétissante pour les cybercriminels. Des codes malveillants déjà connus sont adaptés pour cette
plateforme. Selon une analyse du cabinet
Flurry, plus de 17,4 millions de terminaux iOS et
Android ont été activés le jour de Noël 2012.22
Par conséquent, en plus de l'espionnage de
données, l'envoi de SMS vers des numéros surtaxés continuera d'être la principale fonction
malveillante en 2013. Les nouvelles technologies embarquées dans les périphériques mobiles
ouvrent d’autres opportunités pour les attaquants. En 2011, Google a créé un nouveau business
model avec l’application Google Wallet,23 . Celle-ci a pris de l’ampleur avec le ralliement de nombreuses sociétés de carte de crédit depuis aout 2012.
Google Wallet est un système de paiement mobile qui autorise les utilisateurs à stocker leur carte
de paiement, carte de crédit et carte d’abonnement ou coupons de paiement sur leur smartphone.
Le téléphone peut être utilisé pour payer des achats dans des magasins (officiellement, seulement
aux USA pour l’instant) ou sur le web. Pour les paiements dans des magasins réels, le service utilise
le Near Field Communication (NFC, qui a été ajouté à Android à partir de la version 2.3). Ceci
permet de payer en tenant simplement le téléphone près de la borne PayPass à la caisse du
magasin.
Depuis 2012, cette technologie NFC a été implémentée dans de nombreux smartphones sans que les utilisateurs ne soient informés de son fonctionnement et des risques qui en découlent…ce qui la
rend évidemment très intéressante aux yeux des pirates. Et ce d’autant plus que des vulnérabilités
ont été trouvées dans Google Wallet : des informations ont pu être récupérées en dehors de
l’application. Des hackeurs ont réussi à intercepter les communications et à en extraire des éléments
critiques rendant toutes les transactions non sécurisées.24
En 2013, les cybercriminels vont continuer à observer le marché des périphériques mobiles. Les
fortes ventes de ces terminaux rendent Android de plus en plus intéressant pour eux. L’accélération
des vitesses de transmission et de la bande passante allouées aux smartphones, le développement
des paiements par NFC et d’autres technologies vont accroitre d’autant les possibilités d’attaques
pour 2013.
Cependant, tant qu’il sera possible de faire de l’argent facilement en diffusant des chevaux de Troie
insérés dans des applications piratées, c’est cette méthode qui prévaudra. Si le ratio cout/bénéfice
change, de nouveaux scénarios seront trouvés. Sur ce point, il n’y a donc aucune différence entre les
cybercriminels agissant sur les plateformes mobiles et ceux présents sur PC.
22 http://blog.flurry.com/bid/92719/Christmas-2012-Shatters-More-Smart-Device-and-App-Download-Records 23 http://www.google.com/wallet/faq.html 24 http://bgr.com/2012/02/10/google-wallet-hacked-again-new-exploit-doesnt-need-root-access-video/
Screenshot 5: tweet d’Andy Rubin au sujet des activations de mobile sous Android