G Data Malware Report Rapport semestriel Juillet ......web. Cependant, ceci ne signifie pas...

G Data Malware Report

Rapport semestriel

Juillet – Décembre

G Data SecurityLabs

Report

Rapport semestriel

Décembre 2012

Copyright © 2013 G Data Software AG 1

G Data MalwareReport H2/2012

Sommaire

Vue d’ensemble ....................................................................................................................................................................... 2

Codes malveillants : faits et chiffres .............................................................................................................................. 3

Une croissance qui faibli ................................................................................................................................................... 3

Catégories de malwares.................................................................................................................................................... 3

Plateformes : “Tous contre Windows !” ....................................................................................................................... 4

Les malwares sous Android ............................................................................................................................................. 5

Baromètre des risques .......................................................................................................................................................... 6

Site web : Analyse sémantique et géographique .................................................................................................... 8

Catégorisation par thème ................................................................................................................................................ 8

Catégorisation géographique ........................................................................................................................................ 9

Banque en ligne .................................................................................................................................................................... 10

Les attaques d’ampleur .................................................................................................................................................. 10

Les prévisions .................................................................................................................................................................... 11

Android: un système attractif pour les utilisateurs… et les cybercriminels ........................................... 12

Adware: La nouvelle tendance de 2012 ................................................................................................................... 12

Des malwares sur le Google Play Store .................................................................................................................... 14

Des codes malveillants de plus en plus perfectionnés ....................................................................................... 14

Les Botnets sur le terrain du mobile .......................................................................................................................... 15

Prévisions ............................................................................................................................................................................ 16



Vue d’ensemble • Le nombre total de nouveaux malwares a baissé sur le second semestre 2012. Cette année

aura été relativement identique à 2011, avec une légère augmentation de 2,4%.

• En moyenne, 6 915 nouvelles souches de malwares sont créées tous les jours.

• Le nombre de familles de malware est légèrement plus élevé (2 483 sur ce second semestre) que sur la première partie de l’année.

• En termes de catégories, le nombre de backdoor a augmenté. Ils sont maintenant la deuxième catégorie la plus représentée devant les spyware et les downloader (3e et 4e).

• Le nombre de souches de malware de la catégorie « tools » a explosé en 2012. Cette

catégorie inclut, par exemple, les kits d’exploitation de failles sur le web ou de récupération

de coordonnées bancaires.

• La proportion de malware sous Windows reste stable à 99,8% mais la part des codes programmés en .NET s’est accru de manière significative.

• G Data Security Labs a reçu 139 817 nouveaux fichiers malveillants sous Android – soit cinq fois plus que sur le premier semestre 2012.

• Opérations bancaires en ligne : Citadel, le malware clone du célèbre ZeuS a atteint le haut

du classement devant Bankpatch et Sinowal.

• Les Adware se font un peu moins présents sur PC mais gagnent du terrain sur les plateformes mobiles.

• Sur toutes les plateformes, les attaquants tentent de faire le maximum de profit pour le minimum d’efforts.

Évènements • La découverte de miniFlame comme nouveau composant du cyberespionnage.

• Les malware Mahdi et Gauss sont reliés à l’espionnage.

• Les opérateurs de Botnet passent maintenant par Tor pour leur communication et envoient

leurs commandes via le service Google Docs.

• L’ingénierie sociale est un vecteur clé pour de nombreuses cyberattaques.

• Au second semestre, Java, le logiciel d’Oracle a fait les gros titres suite à la découverte de plusieurs vulnérabilités critiques.

Perspectives pour le premier semestre 2013

• Le nombre de nouvelles souches de malware devrait rester au même niveau.

• Les activités des chevaux de Troie bancaire vont devenir plus difficiles à détecter.

• Nous nous attendons à voir ces malwares utiliser le réseau chiffré Tor.

• De nouvelles méthodes d’attaques devraient apparaitre grâce aux technologies émergentes - telles que le NFC.



Codes malveillants : faits et chiffres

Une croissance qui faibli Comparé au premier semestre 2012, le nombre de souches de malware a reculé sur le second

semestre. G Data SecurityLabs a enregistré 1 258 479 nouveaux types de malware sur cette période1,

soit 123 488 de moins que sur le semestre précédent.

Dans l’ensemble, 2012 a été relativement identique à 2011 même si la tendance qui devait nous

amener à trois millions de nouveaux malwares n’a pas été respectée (le nombre actuel de malwares a atteint 2 640 446). Évidemment, ce nombre reste très élevé et il ne faut pas oublier qu’il s’agit que

des nouvelles signatures et non du nombre total des malwares en circulation.

Sur les six derniers mois, certains indices font penser que les auteurs de malware se concentrent sur

la qualité de leur code plutôt que sur la quantité et que ceci pourrait expliquer la baisse constatée.

Catégories de malwares Les codes malveillants peuvent être regroupés selon leur fonctionnalité principale. Le Graphique 2 qui suit montre les catégories les plus importantes.

1 Les chiffres de ce rapport sont basés sur l’identification des codes par leurs signatures. Elles sont basées sur des similarités dans le code. Des codes malveillants semblables sont rassemblés dans des familles, dans lesquelles des écarts mineurs sont considérés comme des variantes. Les fichiers complètement différents constituent la base de leurs propres familles. Le nombre repose sur des variantes de nouvelles signatures créées dans la seconde moitié de 2012.

Graphique 1 : Nombre de nouveaux malware par an depuis 2006.



Le groupe des chevaux de Troie (aussi appelés « troyens ») domine toujours les autres catégories. Cette famille rassemble une grande variété de malwares avec des fonctionnalités diverses : rançon ou faux antivirus par exemple et s’installent en infectant les ordinateurs via, notamment, des portes dérobées. Le nombre de backdoors a aussi augmenté de manière constante sur le dernier semestre

et cette catégorie arrive maintenant en seconde position devant les spywares et les downloader. Le nombre de malwares dans la catégorie « tools » poursuit son ascension débutée il y a maintenant un an. Cette catégorie pointe actuellement à la 6e place de notre classement. L’explication de ce phénomène tient à l’explosion du nombre de programmes qui exploitent les vulnérabilités web et détournent les opérations bancaires.

La baisse du nombre d’adware est notable. Cette tendance se retrouve dans les attaques

enregistrées par le G Data SecurityLabs et que l’on retrouve plus en détail dans la partie "baromètre

des risques" de ce rapport.

Plateformes : “Tous contre Windows !” Comme les programmes normaux, les malwares sont développés pour une plateforme spécifique.

Windows a, depuis des années, une part très élevée dans cet univers2. La fin de l’année 2012 ne

change pas ce constat. La proportion des malwares sous .NET (MSIL) a connu une hausse

significative comme le montre le tableau 1.

2 Malware pour Windows signifie ici que les fichiers exécutables au format PE appartiennent au Microsoft intermediate Language (MSIL). MSIL est un format intermédiaire utilisé dans l’environnement de programmation .net. La plupart des applications .NET sont indépendantes de la plateforme, mais elles sont pratiquement toutes utilisées sous Windows

Graphique 2 : Nombre de nouveau malware par catégorie sur les six derniers semestres.



Plateforme

#2012 H2 part #2012 H1 part

Diff. #2012 H2 #2012H1

Diff. #2012 #2011

1 Win 1,223,419 97.2% 1,360,200 98.4% -10.06% +2.37% 2 MSIL 33,020 2.6% 18,561 1.4%3 +77.90% +26.78% 3 WebScripts 1,087 0.1% 1,672 0.1% -34.99% -50.06% 4 Java 426 <0.1% 662 <0.1% -35.65% +95.33% 5 Scripts4 392 <0.1% 483 <0.1% -18.84% -39.99% Tableau 1 : Top 5 des plateformes sur les deux derniers semestres.

La comparaison annuelle entre 2012 et 2011 fait apparaitre une chute de 50% des nouveaux scripts web. Cependant, ceci ne signifie pas forcément qu’il y a moins de danger en provenance des sites web. En effet, ici sont recensées les nouvelles signatures et non les attaques enregistrées. Vous trouverez plus d’informations à ce sujet dans la partie « baromètre des risques ».

Dans le même temps, le nombre de nouveaux malwares ciblant la plateforme Java a suivi une

trajectoire inverse : il a pratiquement doublé. Une des explications est à trouver dans les

vulnérabilités récurrentes qui ont marqué l’actualité de cette plateforme5 pendant toute l’année

2012. Des vulnérabilités qui ont, manifestement, attiré l’attention des cybercriminels.

Les malwares sous Android Différentes données peuvent être

utilisées pour compter les malwares

sous Android. L’une d’entre est le

nombre de fichiers malveillants. Sur le

second semestre 2012,139 818

fichiers sont arrivés dans le

SecurityLabs de G Data6, soit cinq fois

plus que sur la période précédente.

Malheureusement, il est difficile de

retracer la chronologie de diffusion de

tous ces échantillons, car la date

exacte du premier enregistrement de

chaque échantillon n'est pas toujours

connue.7 Le graphique 3 montre la

diffusion de tous les échantillons dont

la date d’apparition a été clairement

établie.

3 Une erreur d’arrondie dans le précédent rapport a été corrigée ici passant ce chiffre de 1,3% à 1,4%. 4 Les Scripts sont des fichiers batch ou des scripts/programmes écrits en VBS, Perl, Python ou Ruby. 5 http://blog.gdatasoftware.com/blog/article/cve-2012-4681-a-java-0-day-is-going-to-hit-big-time.html http://blog.gdatasoftware.com/blog/article/the-new-java-0-day-exploit-actively-endangers-web-surfers.html

6 Les malwares sous Android peuvent être identifiés sur la base de plusieurs fichiers. Le package d’installation (APK) contient de nombreux fichiers qui incluent le code et les propriétés d’autres éléments. Le comptage ne prend en compte que les fichiers APK même s’ils sont composés de plusieurs fichiers. 7 63.8% des nouveaux fichiers malveillants du second semestre 2012 n’ont pas de date connue. Ces fichiers ont été attribués sur les trois à six derniers mois.

Family # variants

FakeInst 90

SMSAgent 80

Ginmaster 63

Opfake 55

Agent 46 Graphique 3 : diffusion des fichiers dont la date d’apparition est connue.



Comme les signatures virales8, les fichiers malveillants peuvent être assignés à certaines familles de malware et leurs variantes. 88 900 fichiers malveillants trouvés sur Android peuvent être classés dans 1 132 variantes et 314 familles. 131 nouvelles familles sont apparues au second semestre 2012. Le Tableau 2 montre quelles familles ont le plus de variantes.

À l’instar de ce que l’on constate sur PC, la plupart des malwares pour mobile sont des chevaux de Troie.9 La proportion de nouveaux

adware reste faible. Cependant, les attaques de cette nature sur cette plateforme viennent tout juste de commencer et nous nous attendons à ce qu’elles prennent une part plus importante. En effet, les adware génèrent des profits en affichant des publicités (voir le paragraphe « Adware: La nouvelle tendance de 2012 »).

Les prévisions d’accroissement du nombre de nouveaux malwares et du nombre de familles étaient correctes. Nous avions aussi prévu que de nouveaux scénarios d’attaques allaient s’intégrer dans de nouvelles familles de malware. (Vous trouverez plus d’informations sur ce sujet dans le paragraphe «

Android: un système attractif pour les utilisateurs… et les cybercriminels ».)

Baromètre des risques Le nombre d’attaques d’utilisateurs des solutions G Data (et ayant activé MII)10 a aussi augmenté sur

ce second semestre. L’analyse des données établit le classement suivant :

Rank Name Percent

1 Win32:DNSChanger-VJ [Trj] 9.24%

2 Trojan.Wimad.Gen.1 3.10%

3 Win64:Sirefef-A [Trj] 1.99%

4 Trojan.Sirefef.HU 1.15%

5 Trojan.Sirefef.GY 1.11%

6 Trojan.Sirefef.HH 0.86%

7 Exploit.CVE-2011-3402.Gen 0.78%

8 Trojan.Sirefef.HK 0.75%

9 Generic.JS.Crypt1.C14787EE 0.61%

10 JS:Iframe-KV [Trj] 0.58%

Le premier constat est que le troyen Sirefef, aussi appelé Zero Access, et ses différentes versions est très bien représenté dans ce classement. Dans le précédent rapport, nous avions déjà mentionné la

8 Le compte des signatures et des variantes est basé sur les signatures des solutions G Data MobileSecurity. 9 cf. Graphique 2 10La Malware Information Initiavie (Mll) tire sa puissance de sa communauté en ligne et tous les utilisateurs ayant acquis une solution de sécurité G Data peuvent y participer. Seul prérequis: l'activation de cette fonction dans l'un des programmes de G Data. Par la suite, chaque fois qu'un malware est détecté et supprimé, un rapport totalement anonyme est ajouté à la base statistique de G Data Security Labs.

Famille # variantes

FakeInst 90

SMSAgent 80

Ginmaster 63

Opfake 55

Agent 46

Tableau 2 : Liste des familles de malwares sous Android avec le plus de variantes (2e semestre 2012)

Tableau 3: Le top 10 des attaques enregistrées par MII sur S2 2012



famille des chevaux de Troie et leur structure modulaire. Elle est notamment utilisée pour les fraudes au clic qui rapportent beaucoup d’argent à ceux qui les mettent en place.

Sur les six derniers mois, il y a eu tellement de variantes que ce malware a pris le contrôle du top 10. Si toutes les variantes étaient additionnées sous une seule signature, Sirefef figurerait parmi les premières places… ce qui donnerait une vision plus claire de ce classement.

A la première place, la présence de Win32:DNSChanger-VJ [Trj] s’explique notamment par son utilisation très courante dans les infections perpétrées par les malwares de la famille Sirefef.

Même si Sirefef est utilisé notamment pour les fraudes au clic, aucun adware (malware dont les ressources proviennent d’une activité proche : les bandeaux publicitaires) ne s’est hissé dans notre top 10. Ceci confirme la tendance que nous avions déjà notée au premier semestre (cf. graphique 2).

Le décompte du malware Generic.JS.Crypt1.C14787EE de notre top 10 peut comporter un biais.

En effet, ce code peut à la fois être détecté lorsqu’un site web utilise un code javascript spécifique

pour afficher un bandeau publicitaire, mais aussi quand un cybercriminel veut générer

artificiellement des clics supplémentaires et accroitre ses gains dans les systèmes de rémunération

au clic.

Pour finir, on compte un nouvel entrant dans notre top 10 : Exploit.CVE-2011-3402.Gen. Cette signature, qui exploite la vulnérabilité CVE-2011-3402 est apparue dans les documents infectés

(documents Microsoft Word ou d’autres fichiers textes). Cette vulnérabilité permet notamment

d’exécuter des fonctions malveillantes comme télécharger et exécuter des malwares

supplémentaires.



Site web : Analyse sémantique et géographique

Catégorisation par thème Si l’on analyse les thèmes utilisés par les auteurs de sites web malveillants, beaucoup de choses se

sont passées lors de ce second semestre 2012.11

Le top 10 représente maintenant 88.6%

des thématiques abordées par les sites

observés, soit 17.9% de plus qu’au premier

semestre 2012. Il couvre donc la presque

totalité des sujets sur lesquels les

cybercriminels ont mis l’accent.

Les Forums, nouvel arrivant dans ce

classement pointe directement au

quatrième rang. Autre nouvelle catégorie,

les sports arrivent, eux, en huitième

position. Les jeux et la musique ont

disparu du top 10.

Dans le top 3, les thématiques

Technologie & Télécommunications,

Éducation et professionnel ont beaucoup

plus servi de plateforme pour des

opérations d’hameçonnage Paypal que sur

la période précédente. La thématique

Voyage avait aussi servi à ce type

d’hameçonnage sur le semestre précédent.

(Pour plus de détails sur les fraudes bancaires en ligne voir page 11.)

Les catégories Forums et Blogs sont

souvent reliés à des malwares. Ceci est dû

aux nombreuses vulnérabilités dont

souffrent quantité de système de forum et

de blog. Les cybercriminels utilisent les

moteurs de recherche pour les lister et lancent des attaques automatisées afin d’y placer leurs codes

malveillants. Un mécanisme qui leur permet de toucher un grand nombre de victimes sans effort.

Sans surprise, la thématique Pornographie fait aussi partie de notre top 10. Cependant, il faut faire une distinction entre les sites web réputés de ce domaine et les sites frauduleux. Ces derniers sont

souvent classés dans les sites malveillants, car ils proposent des mises à jour supposées

indispensables pour visionner leurs contenus et qui sont, en réalité, des programmes malveillants.

Dans d’autres cas, il s’agit de véritable hameçonnage et les sites contrefaits tentent de récupérer des

données personnelles ou des coordonnées bancaires. Les sites légitimes sont évidemment

concernés par cette menace et font de gros efforts pour adapter leurs infrastructures réseau en

conséquence.

11 Dans ce contexte, les sites web malveillants rassemblent à la fois les sites d’hameçonnage et ceux qui propagent des codes malveillants.

Figure 4: Top 10 des sites infectés par thème (2e semestre 2012)



Conclusion :

Ces six derniers mois, nous avons donc assisté à une concentration des sujets utilisés par les

cybercriminels pour attirer les internautes. Évidemment, ceci ne signifie pas que la menace se limite

à ses thématiques.

Encore une fois, nous voyons que les blogs sont particulièrement bien représentés dans notre

classement. Ceci confirme la tendance déjà notée dans notre précédent rapport. Les attaques de

masse sur les systèmes de gestion de contenu (CMS) sont toujours aussi populaires et restent

d’actualité. Ces attaques correspondent bien à la façon de faire des cybercriminels : le moindre effort

pour le plus d’efficacité possible dans la diffusion des malwares et la garantie d’un retour financier

conséquent.

Catégorisation géographique En plus de l’analyse thématique, il est intéressant de relever la distribution géographique des sites

web malveillants. Notre carte ( Graphique 5 ) montre la concentration de sites par pays.

Le principal enseignement que l’on peut tirer de cette carte est que, grâce à leurs bonnes

infrastructures, certaines régions du monde sont particulièrement attractives pour l’hébergement

de sites web malveillants.

C’est évidemment le cas des États-Unis et de l’Europe avec des pays comme l’Allemagne, la France,

l’Espagne et la Grande-Bretagne. Autre élément notable, les attaques en provenance de la Chine

ont encore augmenté par rapport au premier semestre 2012.

Le nombre de pays qui ne sont pas du tout touchés par l’hébergement de sites malveillants s’est

encore réduit. G Data SecurityLabs enregistre maintenant un très petit nombre de zones

« blanches ». Le centre de l’Afrique reste, par exemple, épargné. (On note cependant que les pays

Graphique 5 : Carte des pays hébergeant des sites web malveillants

Localisation moins populaire

Localisation plus populaire



limitrophes sont maintenant touchés). Ceci est évidemment dû au très faible nombre de sites web

hébergés dans ces zones. (La majorité l’est en Afrique du Sud).

Banque en ligne Lors de ce second semestre, plusieurs tendances intéressantes ont été notées dans le secteur des

chevaux de Troie bancaire. Le nombre d’infections a été divisé par trois entre juillet et décembre

2012.

Tableau 4: part des chevaux de Troie bancaire détecté par BankGuard sur Q1 et Q2 2012

L’une des raisons de cette baisse tient à l’arrestation de plusieurs cybercriminels de ce secteur sur le

premier semestre de l’année.12 Il est apparu que seulement quelques développeurs étaient à

l’origine du développement de la plupart des chevaux de Troie ce qui a pratiquement stoppé

l’arrivée de nouveaux codes malveillants. Cela a aussi permis aux éditeurs d’antivirus de mieux

prendre en charge cette menace. Si l’on fait le décompte des chiffres, l’ensemble des chevaux de

Troie a perdu du terrain (Graphique 6). SpyEye a pratiquement disparu. Citadel, le clone de Zeus

prend la tête de notre classement devant Bankpatch et Sinowal.

Les attaques d’ampleur Les nouveaux chevaux de Troie tels que Shylock et Tilon, n’ont pas encore atteint des taux

d’infection élevés par rapport à leurs « confrères ». Seul Tatanga semble prendre un peu

d’importance. Autre cas intéressant : Prinimalka13. Ce troyen ferait partie d’une attaque de grande

ampleur à l’encontre des utilisateurs de banques américaines, attaque appelée « Project Blitzkrieg ».

À ce jour, aucune date du début de cette opération n’a été découverte. G Data n’a, pour l’instant,

enregistré aucun taux d’infection significatif de ce code malveillant.

12 G Data SecurityLabs avait déjà évoqué cet élément lors du précédent rapport semestriel. 13 http://krebsonsecurity.com/2012/10/project-blitzkrieg-promises-more-aggressive-cyberheists-against-u-s-banks/ https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/

Q3 2012 Bankpatch 29.1% Citadel 25.5% ZeuS 23.3% Sinowal 16.3% Spyeye 3.1% Others 2.7% Q4 2012 Citadel 24.0% Bankpatch 22.8% ZeuS 17.9% Sinowal 13.2% Tatanga 10.1% Others 12.0%

Graphique 5: Part des chevaux de Troie bancaire détectés par BankGuard sur le 2nd semestre 2012



Une attaque qui, elle a déjà eu lieu est l’opération « High Roller ». Elle a été détectée au début de ce

second semestre et a utilisé les vieux chevaux de Troie ZeuS et SpyEye. L’algorithme utilisé pour récupérer les transactions avait, lui, été amélioré à tel point qu’il était possible d’enregistrer des

données même lorsque l’authentification se faisait avec une carte à puce.

L’opération « High Roller » s’est attaquée spécifiquement à des comptes richement dotés comme

ceux de sociétés. De grosses sommes d’argent ont été transférées vers les comptes de « mules ». Le

montant des détournements n’est pas connu à ce jour. Des sources parlent de sommes oscillant

entre 60 millions et 2 milliards d’euros. Une part de ces sommes a probablement été bloquée par les

banques sans que l’on puisse déterminer le montant réellement volé. À noter que leurs technologies

développées par G Data BankGuard sont capables de prévenir ce type d’attaques.

Les prévisions Difficile de dire quel troyen bancaire sera en tête du peloton en 2013. Bankpatch a connu une telle

chute de son taux d’infection que le futur de ce code malveillant n’est pas assuré. Les auteurs de

Citadel semblent faire profil bas pour le moment… tout semble plaider pour un statut quo au

niveau du classement. On peut prédire l’arrivée de nouveaux clones de Zeus, mais ils ne devraient

pas atteindre les « performances » de Citadel en termes de taux d’infection.

Plusieurs éléments indiquent que Carberp pourrait faire son retour : au marché noir, son code est en vente et la découverte d’une version mobile pourrait le relancer14.

Pour le reste, nous ne pensons pas que la baisse des infections via des chevaux de Troie bancaire

devrait se poursuivre en 2013. Les fortes sommes d’argent que peuvent rapporter ces programmes

vont attirer de nombreux cybercriminels. Et ce, malgré les menaces de poursuites judiciaires.

Ces poursuites ont non seulement alerté les développeurs, mais aussi les utilisateurs de codes

malveillants. Des discussions ont été lancées sur les forums underground sur l’utilisation du réseau

14 Voir graphique 8.

Graphique 6: Évolution du nombre d’infection pour les cinq chevaux de Troie les plus courant au second semestre 2012



Tor pour les communications de ces programmes malveillants.15 Cette technique a déjà été utilisée

pour de récents botnets tels que Skynet.

Jusqu’à présent, l’Europe de l’Est a été le centre du commerce de chevaux de Troie bancaire. Ces

opérations étaient même menées à « ciel ouvert ». Des actions ont été menées pour faire

comprendre aux cybercriminels que cette impunité était terminée. Ce commerce devrait

rapidement devenir beaucoup plus opaque. Il est aussi possible que ces activités migrent vers des

pays où les poursuites judiciaires seront moins courantes.

Android: un système attractif pour les utilisateurs… et les cybercriminels Lors de ce second semestre 2012, G Data s’est aussi penché sur les menaces qui pèsent sur les

smartphones et les tablettes. Ce marché en pleine expansion continue d’offrir de grandes opportunités aux cybercriminels sans trop demander de moyens. Les malwares apparus sur ce

secteur comportent notamment des adaptations de codes malveillants déjà très connus, mais aussi

de nouvelles approches. Deux tendances se concrétisent : Les malwares se complexifient et leur

nombre s’accroit16

Adware: La nouvelle tendance de 2012 Le développement des adware dans les périphériques mobile contraste avec leur raréfaction sur

PC.17 Sur mobile, le meilleur moyen de faire de l’argent est d’envoyer des SMS surtaxés, mais la tâche

est plus ardue. En effet, l’installation demande des autorisations, et nécessite la participation active de l’utilisateur. Sur le Google Play Store l’installation demande obligatoirement la confirmation de

l’utilisateur, les auteurs de malwares sont donc plus enclins à utiliser les marchés alternatifs où les

codes sont moins, voire pas du tout, surveillés. Depuis la version 4.2 d’Android, la sécurité a même

été renforcée puisqu’une liste des droits accordés à chaque application apparait avant son

installation.

Malheureusement, il n’y a pas grand-chose à faire pour aider les utilisateurs de la génération « clic et

oublie » qui acceptent sans rechigner les programmes les plus douteux.

15 http://blog.gdatasoftware.com/blog/article/botnet-command-server-hidden-in-tor.html 16 cf. chapitre “ Les malwares sous Android“ page 5. 17 Voir page 4 et page 7.

Graphique 7: selection de malwares pour mobile apparus en 2012



Un nouveau business lucratif implique même des applications listées dans Google Play Store. Un adware préalablement installé sur le smartphone ou la tablette permet de facturer des services en passant outre l’autorisation de l’utilisateur. En dehors d’afficher des publicités, les adware peuvent aussi proposer aux utilisateurs de télécharger des applications additionnelles qui se révèleront souvent être des malwares.

Sur la seconde partie de l’année 2012, les utilisateurs d’Android ont

notamment été confrontés au cheval de Troie

Android.Trojan.FakeDoc.A, aussi appelé FakeDoc.A.18 Caché dans des applications du type « Battery Doctor », ce troyen vise les

données telles que la liste des contacts de sa victime. En apparence

l’application se limite à faire apparaitre le niveau de la batterie et à la

gestion des connexions wifi et Bluetooth. En arrière-plan, il en va

tout autrement : le cheval de Troie installe un service d’adware qui

fait apparaitre des publicités pour des applications malveillantes et

des sites web au contenu douteux. Ce service reste installé même

lorsque l’application est supprimée. Ainsi, il est même impossible

pour l’utilisateur de savoir quelle application est à l’origine de cette

infection.

Les auteurs d’Android.Trojan.MMarketPay.A, (MMarketpay.A), ont

utilisé une approche similaire pour diffuser leur code malveillant. Les

applications « trojanisée », comme « Go Weather », « Travel Sky » et

« ES Datei Explorer », étaient proposées en téléchargement sur des

sites chinois et des stores alternatifs.

Ces applications donnaient en apparence accès à quelques informations sur la météo. En tâche de

fond, le code malveillant se rendait sur des sites marchands chinois pour acheter des biens sans

aucune intervention de l’utilisateur19, MMarketpay.A faisait aussi la

publicité pour des applications supplémentaires, toutes avec leurs

lots de chevaux de Troie.

Ce type d’applications « trojanisées » a gagné du terrain pendant

toute l’année 2012. Petit raffinement apporté par les développeurs de

ces codes malveillants : les applications proposées sont différentes

suivant l’origine géographique de l’utilisateur (géolocalisé grâce à son

adresse IP). Lorsque l’utilisateur clique sur une offre, il est redirigé non

pas sur le Google Play Store mais vers des sources d’applications non

sécurisées : un store alternatif localisé en Asie, voire sur un site web

indépendant... De notre point de vue, les messages d’alertes

d’Android n’insistent pas assez sur la fiabilité des services de

téléchargement lors de l’installation d’une nouvelle application.

Même si le code malveillant de MMarketpay.A était limité au marché

chinois, il donne un bon aperçu du futur. Il ne faudrait que des

modifications mineures pour que ce type d’attaque puisse être utilisé

en Europe ou sur le marché américain. La volonté d’interconnecter les

boutiques d’applications va à l’encontre de la sécurité.

18 FakeDoc a été décrit en détail dans notre précédent rapport. 19 http://blog.gdatasoftware.com/blog/article/new-android-malware-goes-on-a-shopping-spree-at-your-expense.html

Screenshot 2: De la publicité pour des applications localisées sur un serveur chinois

Screenshot 1: Trojan MMarketpay se cachait dans une application fonctionnelle de météo



Des malwares sur le Google Play Store Même si, au début de l’année, Google a mis en place son système de vérification d’application, il y

avait encore des malwares sur le Google Play au second semestre 2012.

Android.Trojan.FindAndCall.A, (FindAndCall.A) en est un exemple.

Cette application que l’on trouve à la fois sur Google Play et sur l’App store d’Apple est un malware

qui envoie le détail des contacts de l’utilisateur vers un serveur défini par l’attaquant. Cette machine

peut alors envoyer des SMS non sollicités à toutes ces personnes. Ce message comportait en prime

un lien pour télécharger l’application malveillante. Ces SMS, émanant d’une personne connue,

auront bien plus de chance de convaincre le destinataire d’installer l’application recommandée.

À peu près au même moment que FindAndCall.A faisait parler de lui, des scientifiques américains

ont publié un rapport sur la manière dont ils avaient pu mettre en ligne sur Google Play une

application apparemment inoffensive, mais cachant de nombreuses fonctions malveillantes. Ce

malware, qui a pris en défaut Google’s Bouncer, n’était pourtant pas d’une conception très éloignée

des malwares « réels » (il envoyait un contact toutes les 15 minutes à un serveur au lieu d’un par

seconde pour les codes malveillants habituels).20 Ceci montre qu’il reste difficile de concevoir un

outil permettant de détecter tous les malwares. Les systèmes de sécurité mis en place par Google interviennent très tard pour supprimer ces codes indésirables de son magasin d’application. Une

protection additionnelle, sous la forme d’un logiciel de sécurité, installée sur le périphérique mobile,

est donc un impératif.

Des codes malveillants de plus en plus perfectionnés Les commentaires que l’on trouve dans les codes sources de ces malware laissent à penser que les

codes vont aller en se complexifiant. De nouvelles fonctions sont en passe d’être rajoutées. Par

exemple, FindAndCall.A contient un bout de code qui récupère la localisation GPS de l’utilisateur et l’envoi sur un serveur prédéfini. Bien que déjà présente dans le programme, cette fonction n’a pas

encore été activée.

Les biens nommés crimeware kits, qui facilitent grandement la tâche des cybercriminels sont aussi

présents sur le terrain des périphériques mobiles. Les malwares élaborés avec ces outils

professionnels fonctionnent très bien et sont plus difficiles à trouver que ceux créés par de mauvais

programmeurs. Ces kits génèrent principalement des chevaux de Troie… ce qui explique le grand

nombre de variantes trouvées sur les mobiles (voir Graphique 2, page 4.)

20 http://media.blackhat.com/bh-us-12/Briefings/Percoco/BH_US_12_Percoco_Adventures_in_Bouncerland_WP.pdf

Screenshot 3: Find And Call sur Google Play Screenshot 4: Find And Call sur l’ App Store d’Apple



Pour mémoire, les kits d’élaboration de malwares sont mis en vente sur les forums et sont d’un accès

très simple : on peut choisir les fonctionnalités à ajouter à son malware et le code est ajouté

automatiquement.

Les Botnets sur le terrain du mobile Les botnets sont bien connus du monde des ordinateurs. Les cybercriminels s’en servent pour, par

exemple, envoyer du spam, attaquer des sites web ou des serveurs (Ddos) ou encore pour récupérer

des données. La taille des botnets est extrêmement variable : de quelques ordinateurs à plusieurs

milliers d’ordinateurs « zombies » .

Les périphériques mobiles peuvent aussi rejoindre ces botnets si l’attaquant parvient à récupérer un

accès complet au terminal (accès root). Il peut y parvenir en exploitant des vulnérabilités non

corrigées du système d’exploitation.

Backdoor Android.Backdoor.SpamSold.A, (SpamSoldier.A) capture ses victimes avec une copie

illégale du jeu très connu Angry Birds. L’application infectée est proposée gratuitement en

téléchargement sur des marchés alternatifs ou sur des sites web. Une fois que le malware est installé

sur le téléphone, son serveur de commande et de contrôle envoie une liste de numéros de

téléphone surtaxés ou pas. Sans que l’utilisateur puisse le détecter, ces numéros sont contactés via

SMS/appel vocal aux frais de la victime. Une fois ces numéros exploités, le malware récupère une

nouvelle liste. L’utilisateur ne sera informé de ces envois/appels qu’à la réception de la note de

téléphone. Les montants peuvent être très élevés. L’arrivée des bots sur les mobiles a un objectif

clair : générer des profits rapidement et simplement !21

21 Voir graphique 9.

Graphique 8: schéma de la rémunération d’une attaque à partir d’un botnet en version « mobile »

Attaquant Commande vers le bot: SMS surtaxés

Service surtaxé

facturation Paiement

mobile infecté SMS/appel surtaxés



Prévisions Avec 1,3 million de nouveaux périphériques activés chaque jour, Android est une cible toujours plus

appétissante pour les cybercriminels. Des codes malveillants déjà connus sont adaptés pour cette

plateforme. Selon une analyse du cabinet

Flurry, plus de 17,4 millions de terminaux iOS et

Android ont été activés le jour de Noël 2012.22

Par conséquent, en plus de l'espionnage de

données, l'envoi de SMS vers des numéros surtaxés continuera d'être la principale fonction

malveillante en 2013. Les nouvelles technologies embarquées dans les périphériques mobiles

ouvrent d’autres opportunités pour les attaquants. En 2011, Google a créé un nouveau business

model avec l’application Google Wallet,23 . Celle-ci a pris de l’ampleur avec le ralliement de nombreuses sociétés de carte de crédit depuis aout 2012.

Google Wallet est un système de paiement mobile qui autorise les utilisateurs à stocker leur carte

de paiement, carte de crédit et carte d’abonnement ou coupons de paiement sur leur smartphone.

Le téléphone peut être utilisé pour payer des achats dans des magasins (officiellement, seulement

aux USA pour l’instant) ou sur le web. Pour les paiements dans des magasins réels, le service utilise

le Near Field Communication (NFC, qui a été ajouté à Android à partir de la version 2.3). Ceci

permet de payer en tenant simplement le téléphone près de la borne PayPass à la caisse du

magasin.

Depuis 2012, cette technologie NFC a été implémentée dans de nombreux smartphones sans que les utilisateurs ne soient informés de son fonctionnement et des risques qui en découlent…ce qui la

rend évidemment très intéressante aux yeux des pirates. Et ce d’autant plus que des vulnérabilités

ont été trouvées dans Google Wallet : des informations ont pu être récupérées en dehors de

l’application. Des hackeurs ont réussi à intercepter les communications et à en extraire des éléments

critiques rendant toutes les transactions non sécurisées.24

En 2013, les cybercriminels vont continuer à observer le marché des périphériques mobiles. Les

fortes ventes de ces terminaux rendent Android de plus en plus intéressant pour eux. L’accélération

des vitesses de transmission et de la bande passante allouées aux smartphones, le développement

des paiements par NFC et d’autres technologies vont accroitre d’autant les possibilités d’attaques

pour 2013.

Cependant, tant qu’il sera possible de faire de l’argent facilement en diffusant des chevaux de Troie

insérés dans des applications piratées, c’est cette méthode qui prévaudra. Si le ratio cout/bénéfice

change, de nouveaux scénarios seront trouvés. Sur ce point, il n’y a donc aucune différence entre les

cybercriminels agissant sur les plateformes mobiles et ceux présents sur PC.

22 http://blog.flurry.com/bid/92719/Christmas-2012-Shatters-More-Smart-Device-and-App-Download-Records 23 http://www.google.com/wallet/faq.html 24 http://bgr.com/2012/02/10/google-wallet-hacked-again-new-exploit-doesnt-need-root-access-video/

Screenshot 5: tweet d’Andy Rubin au sujet des activations de mobile sous Android

G Data Malware Report Rapport semestriel Juillet ......web. Cependant, ceci ne signifie pas...

Documents

Transcript of G Data Malware Report Rapport semestriel Juillet ......web. Cependant, ceci ne signifie pas...