Kaspersky Analysis Mobile virology March2012 FR

Virologie mobile, 5e partie
Denis Maslenikov
Sommaire
Introduction .................................................................................................................................................. 1
Statistiques générales ................................................................................................................................... 2
Nombre de familles et de leurs modifications .......................................................................................... 2
Répartition par comportement ................................................................................................................. 3
Répartition par plateforme ....................................................................................................................... 4
Android dans le collimateur .......................................................................................................................... 5
.......................................................................................................................... Erreur ! Signet non défini.
Objectif : vol d'argent et d'informations ................................................................................................... 6
Objectif : contrôle du périphériques ......................................................................................................... 8
Programme malveillant sur Android Market ............................................................................................ 9
Chevaux de Troie SMS ................................................................................................................................... 9
L'homme du milieu mobile..........................................................................................................................11
QR Code : nouveau mode de diffusion des programmes malveillants .......................................................11
Hacktivisme mobile : les balbutiements .....................................................................................................12
Conclusion ...................................................................................................................................................13
Introduction
Près d'un an s'est écoulé depuis la publication de la quatrième partie du rapport « Virologie mobile »
(http://www.securelist.com/ru/analysis/208050690/Mobilnaya_virusologiya_chast_4). En guise de
conclusion, nous avions formulé quelques pronostics sur le développement des menaces pour les
plateformes mobiles en 2011. Voyons si ces pronostics se sont confirmés.
En bref, les hypothèses principales que nous avancions étaient les suivantes :
1. Domination des SMS chevaux de Troie.
2. Augmentation des menaces pour Android.
3. Augmentation du nombre de vulnérabilités détectées dans diverses plateformes pour appareils
nomades et, éventuellement, du nombre d'attaques réalisées à l'aide de celles-ci.
4. Augmentation du nombre de logiciels espion.
Un an plus tard, en ce début de l'année 2012, nous pouvons affirmer que nos pronostics se sont
malheureusement tous vérifiés.
1. Les SMS chevaux de Troie ont connu un développement actif.
2. Le nombre de menaces pour Android a augmenté, et de manière sensible.
3. Les individus malintentionnés utilisent activement certaines vulnérabilités.
4. Les logiciels espions sont également une source de nombreux problèmes pour les utilisateurs.
Il faut également noter que l'hégémonie des programmes malveillants pour la plateforme J2ME s'est
terminée, de manière assez abrupte. Ceci s'explique en grande partie par l'intérêt que les auteurs de
virus ont porté à la plateforme Android. En raison de la popularité de cette plateforme, les auteurs de
virus ont été confrontés à toute une série de nouveaux problèmes que nous allons aborder ci-après.
Dans l'ensemble, en 2011 les programmes malveillants ont atteint un nouveau seuil de qualité : ils sont
devenus plus complexes. Toutefois, nous retrouvons toujours parmi les programmes malveillants des
exemplaires russes et chinois moins complexes et il est peu probable que la situation change à court
terme.
La cinquième partie du rapport « Virologie mobile » est consacrée à ces événements.
Statistiques générales
Comme de coutume, nous allons commencer par un survol des statistiques.
Nombre de familles et de leurs modifications
Pour rappel, à la fin de l'année 2010, notre collection comptait 153 familles et plus de 1 000
modifications de programmes malveillants pour plateforme mobile. Et en 2010, le nombre de nouveaux
programmes malveillants pour plateforme mobile détectés avait augmenté de 65,12 % par rapport à
2009.
Le nombre de modifications et de familles de programmes malveillants pour plateforme mobile dans la
collection de Kaspersky Lab au premier janvier 2012 est présenté ci-après :
Plateforme
Android
J2ME
Symbian
Windows Mobile
Autres
Modifications
4139
1682
435
81
19
Familles
126
63
111
23
8
Quelle aura été la croissance du nombre de menaces en 2011 ? Sur l'ensemble de 2011, nous avons
enregistré 5 255 nouvelles modifications de programmes malveillants pour plateforme mobile et 178
nouvelles familles ! Le nombre total de nouvelles menaces en un an a été multiplié par 6,4. Au cours du
mois de décembre 2011 uniquement, nous avons ajouté à nos bases antivirus plus de programmes
malveillants pour appareils mobiles qu'au cours de la période allant de 2004 à 2010.
Nombre de nouvelles modifications de programmes malveillants pour appareils mobiles par mois
2004 – 2011
Le schéma montre clairement que le nombre de nouvelles menaces a sensiblement augmenté au cours
du deuxième semestre 2011. Nous n'avions jamais rien vu de pareil dans l'histoire des programmes
malveillants pour appareils mobiles.
Répartition par comportement
Nous n'avions jamais présenté de statistiques sur la répartition des programmes malveillants pour
plateforme mobile par comportement. Toutefois, les données que nous avons obtenues en 2011 sont
assez curieuses.
Répartition par comportement des programmes malveillants pour plateforme mobile
en 2011
Comme nous l'avons déjà dit, l'année 2011 aura été marquée non seulement par l'augmentation du
nombre de menaces pour plateformes mobiles, mais également par des modifications au niveau de la
qualité de ces programmes malveillants. Bien que parmi les programmes détectés les chevaux de Troie
SMS primitifs occupent toujours une position dominante (ils permettent aux individus malintentionnés
de gagner de l'argent sans trop d'effort), leur part est en recul et est passée de 44,2 % en 2010 à 36,6 %
en 2011.
Les portes dérobées occupent la deuxième position. En 2010, les programmes malveillants de cette
catégorie n'étaient pratiquement pas utilisés par les individus malintentionnés. L'intérêt des auteurs de
virus pour les portes dérobées est lié à l'intérêt croissant porté au système d'exploitation Android. La
grande majorité des portes dérobées détectées visent les smartphones sous Android. Bien souvent, la
porte dérobée est accompagnée d'un kit de codes d'exploitation root et si l'infection réussit, l'individu
malintentionné obtient le contrôle total de l'appareil mobile.
En troisième position, nous retrouvons les logiciels espions qui volent les données personnelles de
l'utilisateur et/ou les données relatives à l'appareil mobile infecté. Notre pronostic sur le
développement de menaces qui tentent de tout voler s'est vérifié également pour les plateformes
mobiles : en 2011, les auteurs de virus ont été très actifs dans la création et la diffusion de programmes
malveillants de ce genre.
Répartition par plateforme
Si l'on évoque la répartition des programmes malveillants pour plateforme mobile par plateforme,
comme nous l'avons déjà dit, J2ME n'est plus l'environnement principal dans lequel les programmes
malveillant vivent.
Répartition des modifications de programmes malveillants par plateforme en 2011
La raison du renversement de la plateforme J2ME est évidente : l'augmentation sensible de la popularité
des appareils mobiles tournant sous Android. Une situation identique avait déjà été observée à l'époque
avec Symbian. De 2004 à 2006, Symbian était le leader incontesté parmi les plateformes mobiles et sa
popularité était grande auprès des auteurs de virus. Plus tard, Symbian a été détrôné par J2ME car les
programmes malveillants pour cette plateforme pouvaient attaquer un plus grand nombre d'appareils
mobiles. Aujourd'hui, Android est le système d'exploitation pour appareil mobile le plus populaire au
monde, ce qui se manifeste par l'apparition et le développement de nouvelles menaces. Selon les
différentes estimations, le système d’exploitation Android est installé sur 40-50% des smartphones.
Une hausse marquée du nombre de nouvelles menaces pour Android a été enregistrée au cours du
deuxième semestre 2011. Vers le milieu de l'été environ, le nombre de programmes malveillants pour
Android a dépassé le nombre de programmes malveillants pour Symbian et à l'automne, ce nombre
était supérieur à celui des menaces pour la plateforme J2ME. Vers la fin de l'année, Android a renforcé
sa position de leader et il est fort peu probable que cette situation change à court terme.
Android dans le collimateur
La croissance explosive du nombre de programmes malveillants pour toutes les plateformes mobiles est
due en grande partie à l'augmentation du nombre de programmes malveillants pour Android.
Nombre de nouvelles modifications de tous les programmes malveillants et des programmes pour Android
par mois en 2011
Le graphique ci-dessus montre qu'au cours du deuxième semestre de l'année, lorsque le nombre de
nouveaux programmes malveillants pour plateforme mobile a commencé à augmenter rapidement, la
majorité des programmes malveillants que nous découvrions chaque mois étaient des programmes pour
Android. En chiffres absolus, la situation est la suivante :
Mois
2011 -1
2011 -2
2011 -3
2011 -4
2011 -5
2011 -6
2011 -7
2011 -8
2011 -9
2011 -10
2011 -11
Nombre total de nouvelles
modifications
27
93
139
102
175
301
298
313
680
879
1 049
Nombre de nouvelles
modifications pour Android
4
11
39
5
25
112
212
161
559
808
1 008
2011 -12
1 199
1 179
Tous les programmes malveillants pour Android que nous avons détectés peuvent être répartis en deux
groupes :


Programmes malveillants développés pour voler de l'argent ou des informations.
Programmes malveillants développés pour prendre les commandes de l'appareil.
Répartition des programmes malveillants selon le comportement pour Android
Objectif : vol d'argent et d'informations
Déjà en octobre 2011, un tiers des programmes malveillants pour Android visait d'une manière ou d'une
autre le vol de données personnelles sur l'appareil de l'utilisateur (contacts, journaux des appels, SMS,
coordonnées GPS, photos, etc.).
Le vol d'informations est une spécialité des cybercriminels chinois. En général, ce qui les intéresse
surtout, ce sont les informations relatives à l'appareil (IMEI et IMSI, pays, numéro de téléphone) et non
pas tellement les informations personnelles ou confidentielles du propriétaire du téléphone.
Le cheval de Troie Nickspy (Trojan-Spy.AndroidOS.Nickspy) est vraisemblablement une exception de la
production chinoise. Ce programme malveillant est capable d'enregistrer toutes les conversations du
propriétaire de l'appareil infecté dans des fichiers audio et de charger ces fichiers sur le serveur distant
des individus malintentionnés. Une des modifications de Nickspy, qui se dissimule sous les traits d'une
application du réseau social Google+, est capable de recevoir en mode caché des appels en provenance
du numéro de téléphone des individus malintentionnés, enregistré dans un fichier de configuration du
programme malveillant. Quand le téléphone infecté répond à ces appels à l'insu du propriétaire du
téléphone, les individus malintentionnés ont la possibilité d'entendre tout ce qui se dit à proximité de
l'appareil infecté, dont les conversations du propriétaire. Ce cheval de Troie s'intéresse également au
texte des SMS, aux informations relatives aux appels et aux coordonnées GPS. Ces données sont
également envoyées au serveur distant de l'individu malintentionné.
Alors que Nickspy a des origines chinoises, Antammi (Trojan-Spy.AndroidOS.Antammi) est la création
d'auteur de virus russes. La couverture de l'activité malveillante du cheval de Troie Antammi était la
fonction légitime d'une application de téléchargement de sonnerie. Ce cheval de Troie peut voler
pratiquement toutes les données personnelles de l'utilisateur : contacts, archives SMS, coordonnées
GPS, photos, etc. Ensuite, il envoie par courrier électronique aux cybercriminels le journal de son activité
et il charge les données volées sur leur serveur.
Nous aimerions évoquer dans ce chapitre une histoire qui a fait beaucoup de bruit. Au début du mois de
novembre, le chercheur et blogueur Trevor Eckhart, sur la base de documents rendus publics, a publié
un message signalant que certains opérateurs de téléphonie mobile américains ainsi que certains
fabricants de périphériques nomades installent par défaut sur certains périphériques nomades vendus
aux Etats-Unis une application développée par la société CarrierIQ. Cette application collecte diverses
informations sur le smartphone et sur son fonctionnement. Elle est également capable d'enregistrer des
données telles que les touches enfoncées par l'utilisateur, les URL visitées, etc. En d'autres termes,
l'application de CarrierIQ collecte un certain nombre de données personnelles sur le propriétaire du
smartphone.
Les smartphones tournant sous Android, et en particulier HTC, ont été au centre de l'attention des
chercheurs et des médias. On a même indiqué que l'application de CarrierIQ fonctionnait sur les
smartphones Blackberry et Nokia, mais ces deux sociétés ont déclaré qu'elles n'avaient jamais
préinstallé cette application sur leurs appareils. S'agissant d'Apple, elle a déclaré le contraire. Le logiciel
de CarrierIQ était présinstallé sur les appareils vendus par Apple, mais depuis la sortie d'iOS 5 il n'est
plus utilisé sur aucun appareil, à l'exception de l'iPhone 4. En novembre 2011, l'application de CarrierIQ
était toujours installée sur les iPhone 4, même sous iOS 5, mais selon les déclarations d'Apple, elle allait
être supprimée lors des prochaines mises à jour.
Après que cette histoire a fait beaucoup parler d'elle dans la presse, CarrierIQ a diffusé un communiqué.
Ce communiqué expliquait pourquoi l'application collectait non seulement les informations relatives à
l'appareil et à son fonctionnement (batterie et charge, connexion à un réseau Wi-Fi), mais également les
informations relatives aux touches enfoncées et aux URL visitées. D'après CarrierIQ, tout cela permet
uniquement d'envoyer des informations de diagnostic à l'opérateur de téléphonie mobile. En d'autres
termes, cette application envoie des données qui indiquent, par exemple, que l'utilisateur ne peut pas
accéder à Facebook, mais ne transmet rien du contenu consulté. La société a également déclaré que les
données sont envoyées directement aux opérateurs de téléphonie mobile qui sont les commanditaires.
Une seule question reste à poser : pourquoi l'utilisateur n'a-t-il aucun moyen de refuser cette
application et « l'aide pour la collecte d'informations de diagnostic » ?
Aujourd'hui, la problématique de la protection des données personnelles est plus actuelle que jamais. Et
de tels événements ne font que confirmer l'intérêt pour ce sujet. Ne va-t-on pas voir apparaître une
application semblable installée par d'autres opérateurs de téléphonie mobile ou fabricants de
téléphones ?
S'agissant des programmes spécialisés dans le vol d'argent, on retrouve toujours à l'avant-garde les
auteurs de virus russes qui ont commencé à produire à grande échelle des chevaux de Troie SMS pour
Android. De nouveaux partenariats qui permettent de générer automatiquement divers chevaux de
Troie SMS et qui proposent une sélection d'outils et de moyens pour leur diffusion (magasins
d'applications fictifs, QR Code, script, domaine réservé, etc.) ont fait leur apparition. Nous allons revenir
sur cette question plus tard.
Objectif : contrôle du périphériques
Les programmes malveillants dont l'objectif est de prendre les commandes de l'appareil ont été très
répandus en 2011 A l'heure actuelle, parmi les programmes malveillants pour Android, les portes
dérobées suivent de près les chevaux de Troie espion.
Les auteurs de virus chinois se sont lancés dans la production industrielle de portes dérobées. Il faut
signaler que la majorité de ces portes dérobées contient des codes d'exploitation dont l'unique tâche est
d'obtenir les privilèges root de l'appareil (c.-à-d., obtenir les privilèges de superutilisateur ou obtenir les
privilèges maximum sur cet appareil). Ainsi, l'individu malintentionné obtient l'accès à distance complet
à l'ensemble du smartphone. En d'autres termes, après l'infection et l'exécution réussie du code
d'exploitation, l'individu malintentionné peut réaliser à distance pratiquement n'importe quelle
opération depuis le smartphone.
Ce sont précisément les codes d'exploitation root qui ont jeté les bases de l'utilisation massive des
vulnérabilités dans les systèmes d'exploitation pour appareils mobiles. Ils sont extrêmement populaires
chez les auteurs de virus chinois. La majorité des codes d'exploitation utilisés sont connus depuis
longtemps et sont prévus pour des versions déjà anciennes d'Android. Mais dans la mesure où une
grande partie des utilisateurs actualise rarement le système d'exploitation, le nombre de victimes
potentiels demeure élevé.
Le bot IRC Backdoor.Linux.Foncy, détecté au début 2012, est peut-être l'exemple le plus frappant (et le
plus sérieux au niveau de la fonction) de porte dérobée. Cette porte dérobée se trouvait dans un
dropper APK (Trojan-Dropper.AndroidOS.Foncy) qui contenait également un code d'exploitation
(Exploit.Linux.Lotoor.ac) pour obtenir l'autorisation root sur le smartphone et un cheval de Troie SMS
(Trojan-SMS.AndroidOS.Foncy).
Le dropper crée un répertoire (/data/data/com.android.bot/files) dans lequel il copie le code
d'exploitation, le bot IRC et le cheval de Troie, puis il exécute le code d'exploitation root. Si l'exécution
du code d'exploitation réussit, celui-ci lance à son tour la porte dérobée qui commence par installer
dans le système le cheval de Troie SMS Foncy (nous en parlons dans le chapitre consacré aux chevaux de
Troie SMS). Il faut préciser que la porte dérobée doit installer et lancer le fichier APK du cheval de Troie
SMS car avant cela, le dropper se contente de copier le cheval de Troie dans le système.
Procédure d'installation du cheval de Troie SMS Trojan-SMS.AndroidOS.Foncy
La porte dérobée, après le lancement du cheval de Troie SMS, tente d'établir une connexion à un
serveur IRC distant sur le canal #andros avec des pseudos aléatoires. Ensuite, il peut recevoir n'importe
quelle instruction shell depuis ce serveur et l'exécuter sur l'appareil infecté.
Programme malveillant sur Android Market
Un autre casse-tête en 2011 aura été la présence de programmes malveillants dans la boutique officielle
d'applications pour Android. Le premier cas de ce genre fut enregistré au début du mois de mars 2011 et
par la suite les programmes malveillants sont apparus régulièrement sur Android Market. La popularité
d'Android, la simplicité de la création d'applications, la possibilité de les diffuser via une source officielle
et l'inefficacité du contrôle des nouvelles applications afin d'écarter tout programme malveillant ont
joué une mauvaise blague à Google. Les individus malintentionnés n'ont pas hésité à exploiter tous ces
facteurs et nous nous sommes retrouvés face à une situation où des programmes malveillants sont
diffusés via Android Market non pas pendant quelques heures ou quelques jours, mais pendant des
semaines, voire des mois, ce qui se traduit par un nombre élevé d'infections.
Chevaux de Troie SMS
En 2011, le développement du comportement le plus populaire parmi les programmes malveillants pour
plateforme mobile a subi quelques modifications. Tout d'abord, les chevaux de Troie SMS ne sont plus
un problème que pour les seuls utilisateurs russophones. Deuxièmement, les attaques contre les
utilisateurs russophones sont devenues bien plus importantes. Troisièmement, la plateforme J2ME n'est
plus l'environnement principal où vivent les chevaux de Troie SMS.
Au cours du premier semestre 2011, les chevaux de Troie SMS ont continué à dominer les autres
comportements de programmes malveillants pour plateformes mobiles. Ce n'est que vers la fin de
l'année que le fossé a commencé à se combler, principalement à cause de l'activité des auteurs de virus
chinois qui créaient des portes dérobées et des chevaux de Troie espion.
Au début de l'année 2011, de nombreux utilisateurs de périphériques mobiles recevaient régulièrement
des SMS indiquant qu'ils avaient reçu un cadeau MMS d'une certaine Katy. Comme il fallait s'y attendre,
il n'y avait aucun « cadeau » à récupérer en cliquant sur le lien du message. Rien d'étonnant non plus à
ce que le fichier JAR accessible via ce lien soit en réalité un cheval de Troie SMS. Dans presque tous les
cas de diffusion que nous avons détectés, les programmes malveillants appartenaient à la famille TrojanSMS.J2ME.Smmer. Ces chevaux de Troie ont une fonction assez primitive, mais si l'on tient compte de
l'ampleur des diffusions et des fréquences de celles-ci, cela n'a pas empêché les individus
malintentionnés d'infecter un nombre considérable d'appareils mobiles. L'ampleur de ces diffusions
était bien supérieure à celles des diffusions antérieures. Les téléphones mobiles de dizaines de milliers
d'utilisateurs étaient exposés régulièrement à un risque d'infection.
En 2008, 2009 et 2010, J2ME était la principale plateforme pour laquelle des chevaux de Troie SMS
étaient développés. Un changement est intervenu en 2011 et désormais, ce sont les chevaux de Troie
pour Android qui sont les plus populaires. Dans l'ensemble, ils ne se différencient pratiquement pas de
leurs confrères pour J2ME. Les modes de dissimulation sont identiques : il s'agit principalement
d'imitations d'applications légitimes comme Opera ou JIMM. Et ils se diffusent également comme les
chevaux de Troie pour J2ME, à savoir à l'aide de partenariats. Bien souvent, un même partenariat se
spécialise à la foi dans les programmes malveillants pour J2ME et dans les programmes malveillants
pour Android.
Avant 2011, les chevaux de Troie SMS visaient principalement les utilisateurs en Russie, en Ukraine et au
Kazakhstan. Mais en 2011, les auteurs de virus chinois ont commencé à créer et diffuser activement des
chevaux de Troie SMS. Toutefois, les programmes malveillants avec seulement une fonction de cheval
de Troie SMS ne sont pas très populaire auprès des auteurs de virus chinois. La fonction d'envoi de SMS
vers des numéros payants n'est qu'un aspect de la diversité des comportements des programmes
malveillants originaires de Chine.
Nous avons également enregistré les premières attaques contre des utilisateurs en Europe et en
Amérique du Nord. Un des pionniers fut le cheval de Troie GGTracker qui visait des utilisateurs aux
Etats-Unis. L'application se dissimulait sous les traits d'un utilitaire de réduction de la consommation de
la batterie du smartphone alors qu'en réalité elle abonnait l'utilisateur à un service payant via des SMS.
Un autre exemple marquant est la famille de chevaux de Troie Foncy. Malgré l'aspect primitif de la
fonction, Foncy est devenu le premier programme malveillant à s'en prendre aux utilisateurs d'Europe
de l'Ouest et du Canada. Et des modifications ultérieures de ce programme attaquaient non seulement
des utilisateurs de pays d'Europe de l'Ouest et du Canada, mais également des Etats-Unis, de Sierra
Leone et du Maroc. Certains indices nous font penser que les auteurs de ce programme malveillant ne
se trouvent pas en Russie.
Le cheval de Troie Foncy possède deux caractéristiques. Tout d'abord, il est international. Le programme
malveillant est capable de déterminer le pays de la carte SIM de l'appareil infecté et sur la base de cette
information, il change le préfixe et le numéro de téléphone pour l'envoi du SMS.
Liste partielle des numéros surtaxés de différents pays dans le corps du cheval de Troie Foncy
Ensuite, le cheval de Troie envoie aux individus malintentionnés un rapport sur le travail réalisé. En
général, le cheval de Troie envoie, à l'insu de l'utilisateur, un SMS à un numéro surtaxé pour le paiement
d'un service ou l'autre. Il peut s'agir de l'accès au contenu d'un site ou à une archive, l'abonnement aux
messages diffusés d'un site, etc. Le téléphone reçoit le SMS de confirmation du paiement que
l'application dissimule. Foncy transmet le texte de ces confirmations et le numéro surtaxé d'origine à ses
propriétaires. Au début ces informations étaient tout simplement transmises par SMS au numéro des
individus malintentionnés. Les modifications suivantes du cheval de Troie les chargeaient directement
sur le serveur de ces mêmes individus.
Procédure de transfert de certains SMS reçus
Il est évident que les individus malintentionnés obtiennent ainsi des informations sur le nombre de SMS
payants envoyés et sur le nombre d'appareils infectés par Foncy.
L'homme du milieu mobile
La première attaque de l'homme du milieu contre des appareils mobiles a été enregistrée en 2010.
Toutefois, c'est en 2011 que ce type d'attaque s'est surtout développé avec l'apparition des
programmes malveillants ZitMo et SpitMo sous différentes plateformes (ZitMo pour Windows Mobile et
ZitMo et SpitMo pour Android) et les individus malintentionnés ont progressivement perfectionné les
fonctions des programmes malveillants.
Les chevaux de Troie ZitMo (ZeuS-in-the-Mobile) et SpitMo (SpyEye-in-the-Mobile)
(http://www.securelist.com/ru/analysis/208050718/ZeuS_in_the_Mobile_fakty_i_dogadki), qui
fonctionnent en binôme avec les versions traditionnelles de ZeuS et SpyEye, figurent parmi les
programmes malveillants les plus complexes détectés ces derniers temps. Voici leurs particularités :



Travail en binôme. Seuls, ZitMo ou SpitMo ne sont que des logiciels espions traditionnels
capables de transmettre des SMS. Toutefois, leur association à la version « classique » de ZeuS
ou de SpyEye a permis aux individus malintentionnés de déjouer la protection des transactions
bancaires qui repose sur l'utilisation d'un code mTAN.
Spécialisation pointue des chevaux de Troie : transfert au numéro des individus malintentionnés
ou sur leur serveur des messages entrants contenant les codes mTAN qui sont ensuite utilisés
par les cybercriminels pour confirmer les transactions financières réalisées au départ de
comptes en banque compromis.
Multiplateforme. Il existe des versions de ZitMo pour Symbian, Windows Mobile, Blackberry et
Android tandis que SpitMo peut tourner sous Symbian et Android.
Parmi les événements les plus importants, il convient de signaler la confirmation de l'existence de ZitMo
sous Blackberry et l'apparition d'une version de ZitMo et de SpitMo pour Android. Cette apparition est
intéressante car cette plateforme mobile populaire avait été ignorée pendant assez longtemps par les
auteurs de ces programmes malveillants.
A l'avenir, les attaques à l'aide de ZitMo, de SpitMo ou de programmes malveillants similaires visant le
vol des codes mTan (ou d'autres informations secrètes transmises via SMS) vont se poursuivre. Mais il
est probable que ces attaques seront ciblées et ne porteront que sur un nombre restreint de victimes.
QR Code : nouveau mode de diffusion des programmes malveillants
Les QR code sont de plus en plus populaires et on les retrouve de plus en plus souvent dans diverses
publicités, sur des badges, etc. pour offrir un accès rapide et simple à certaines informations. C'est
pourquoi les premiers QR Code malveillants ne se sont pas fait attendre.
Aujourd'hui, les utilisateurs de smartphone recherchent souvent des applications pour leur appareil à
l'aide d'un ordinateur classique. Dans ce cas, pour pouvoir télécharger l'application sur le smartphone,
l'utilisateur doit saisir manuellement l'URL dans le navigateur de son téléphone. Ce n'est pas très
pratique et c'est pourquoi on retrouve des QR Code sur les pages des sites qui proposent des
applications pour smartphone.
De nombreux programmes malveillants pour appareils mobile (surtout les chevaux de Troie SMS) se
propagent via des sites où toutes les applications sont malveillantes. Outre des liens directs vers les
programmes malveillants, les cybercriminels ont commencé à utiliser sur ces sites des QR Codes
malveillants dans lesquels le lien vers l'application malveillante est encodé.
Ce sont des cybercriminels russes qui ont été les premiers à tester cette technologique : les QR codes
malveillants dissimulaient des chevaux de Troie pour Android et J2ME.
Exemple de QR Code malveillant
Aujourd'hui, les attaques réalisées à l'aide de QR Code ne sont heureusement pas généralisées.
Toutefois, au fur et à mesure que cette technologie va être adoptée par les utilisateurs, elle va devenir
populaire auprès des individus malintentionnés. De plus, les QR Code malveillants sont utilisés non pas
par un seul créateur de virus (mais par un groupe de créateurs) et ils sont diffusés à l'aide des tristement
célèbres partenariats, ce qui va contribuer rapidement au renforcement de leur popularité chez les
cybercriminels.
Hacktivisme mobile : les balbutiements
Tout au long de l'année 2011, nous avons observé une véritable explosion de l'activité des individus
malintentionnés motivés non pas par le gain, mais par la volonté de protester contre les hommes
politiques, les organismes publics, les grandes sociétés et l'Etat, voire de se venger de ceux-ci. Des
pirates aux motivations politiques se sont introduits dans les systèmes les plus protégés, ils ont diffusé
les données de centaines de milliers de personnes à travers le monde et même les systèmes à la pointe
des technologies n'ont pas échappé aux attaques par déni de service distribué organisées à l'aide des
réseaux de zombies des hacktivistes.
Les programmes malveillants dont l'action porte un certain caractère politique appartiennent à cette
catégorie. De tels programmes ont fait leur apparition pour les systèmes d'exploitation mobiles.
La menace que nous avons détectée sous le nom Trojan-SMS.AndroidOS.Arspam vise les utilisateurs des
pays arabes. Cette application de navigation de type cheval de Troie a été diffusée sur les forums de
langue arabe. La principale fonction de ce cheval de Troie est de diffuser des SMS contenant un lien vers
un forum consacré à Mohamed Bouazizi (http://fr.wikipedia.org/wiki/Mohamed_Bouazizi) à un contact
sélectionné au hasard sur l'appareil (Mohamed Bouazizi s'est immolé à Tunis, ce qui a marqué le début
de grandes manifestations dans le pays, puis la révolution.)
De plus, Arspam tente de définir le code ISO du pays où est utilisé le smartphone. Si la valeur est égale à
BH (Barhein), le programme malveillant tente de charger sur le smartphone un fichier PDF contenant un
rapport de la Bahrain Independent Commission of Inquiry sur les violations des droits de l'Homme.
Il s'agit peut-être pour l'instant du seul cas de programme malveillant d'hacktivisme pour appareil
nomade mais on peut supposer que nous allons certainement rencontrer d'autres programmes
similaires en 2012.
Conclusion
Au moment de dresser le bilan de l'année dernière, nous pouvons affirmer sans crainte que 2011 aura
été une année clé dans le développement des menaces pour appareils mobiles. Toute d'abord, en raison
de l'augmentation marquée du nombre de programmes malveillants. Ensuite, parce que les individus
malintentionnés ont choisi Android comme cible principale des attaques. Troisièmement, parce qu'en
2011 les individus malintentionnés ont automatisé la production et la diffusion des programmes
malveillants.
Que va donc nous réserver 2012 ? En bref, voici nos prévisions :





poursuite de la croissance de l'intérêt des auteurs de virus pour appareil nomades pour la
plateforme Android qui vont consacrer leurs efforts à la création de programmes malveillants
sous cette plateforme.
Augmentation du nombre d'attaques à l'aide de vulnérabilités. Alors qu'actuellement les codes
d'exploitation sont utilisés uniquement pour obtenir les privilèges root sur le smartphone, en
2012 nous nous attendons à voir les premières attaques dans le cadre desquelles les codes
d'exploitation seront utilisés pour infecter le système d'exploitation.
Augmentation du nombre d'incidents impliquant des programmes malveillants sur les magasins
officiels d'application, tout d'abord sur Android Market.
Premiers vers de diffusion massive pour Android.
Développement de l'espionnage sur appareils mobiles.