Juin Malware Report Rapport semestriel Juin 2012
Transcription
Juin Malware Report Rapport semestriel Juin 2012
G Data Malware Report Rapport semestriel Janvier – Juin 2012 G Data SecurityLabs G Data Malware Report 1/2012 Sommaire Vue d’ensemble.................................................................................................................................... 2 Codes Malveillants : faits et chiffres ................................................................................................... 3 Les tops et les flops ................................................................................................................................................... 3 Catégories de malwares: Les spywares en hausse ......................................................................................... 3 Plates-formes: Windows au top ............................................................................................................................ 5 Codes malveillants : à quand le déluge sur Android ? .................................................................................. 6 Mac OS X : Le ver est-il dans la pomme ?........................................................................................................... 7 Baromètre des risques ......................................................................................................................... 8 Site Internet : Analyse sémantique et géographique...................................................................... 10 Catégorisation par thème .................................................................................................................................... 10 Localisation des sites web malveillants .......................................................................................................... 11 Banque en ligne ................................................................................................................................. 12 Codes nuisibles sur mobile ................................................................................................................ 14 Copyright © 2012 G Data Software AG 1 G Data Malware Report 1/2012 Vue d’ensemble • • • • • • Le nombre de nouveaux types de malware a atteint les 1.381.967. Cependant, sur les six derniers mois de 2011, la hausse n’aura été que de 3,9%. La catégorie « spyware » a connu une hausse telle qu’elle est devenue la seconde catégorie de malware. Le nombre de nouveau downloader et de backdoors est aussi en hausse. Ceci indique une mise à jour régulière des réseaux botnet. La part des malwares sous Windows a encore augmenté et atteint les 99.8%. 25 611 nouveaux malwares sous Android ont été analysés par G Data SecurityLabs. De nouveaux chevaux de Troie spécialisés dans la récupération des coordonnées bancaires ont fait leur apparition. Sinowal reste toujours en tête du classement. Évènements • • • • Plusieurs personnes reliées aux malwares ZeuS/SpyEye et Carberp ont fait l’objet d’enquêtes. En mai 2012, le malware Flame a fait sensation. Après Stuxnet and Duqu, ce nouveau code sophistiqué a remis les attaques ciblées et le cyber espionnage au centre de toutes les attentions. "Operation Ghost Click": le malware DNSChanger qui a infecté de nombreuses machines à travers toute la planète a causé des problèmes de connexion à ses victimes. La messagerie instantanée « WhatsApp »pour les smartphones a fait la une d’une bien mauvaise manière puisqu’il s’est avéré que toutes les conversations « whatsapp » passées sur une connexion wifi pouvaient être enregistrées. Perspectives pour le second semestre 2012 • • • • Le nombre de nouveaux types de malware ne devrait pas augmenter significativement. Les nouveaux chevaux de Troie bancaires risquent de se complexifier encore plus. Les malwares sous Android vont devenir plus sophistiqués et leur nombre risque d’augmenter. L’appât du gain devrait pousser les auteurs de malware à adapter leurs créations pour la plateforme Mac OS. Copyright © 2012 G Data Software AG 2 G Data Malware Report 1/2012 Codes malveillants : faits et chiffres Les tops et les flops Le nombre de malwares n’a cessé de s’accroitre depuis des années. C’est aussi le cas sur ce premier semestre 2012. Au total, 1.381.967 nouveaux types1 de malwares ont fait leur apparition. Cela représente une augmentation de 3,9% par rapport aux six derniers mois et plus de 11.0% sur l’année précédente. Sur le premier semestre 2012, G Data SecurityLabs a enregistré en moyenne 316 nouveaux types de malwares par heure. À ce jour, rien n’indique que le second semestre connaitra une hausse importante de ce chiffre. Pour l’année entière, la barre symbolique des trois millions de types de malwares ne devrait pas être atteinte. Graphique 1: nombre de nouveaux malwares par an depuis 2006 Catégories de malwares: Les spywares en hausse Les codes malveillants peuvent être regroupés selon leur fonctionnalité principale. Le graphique 2 qui suit montre les catégories les plus importantes et leur évolution sur les cinq derniers semestres. Les activités du groupe spyware inclus l’enregistrement des frappes au clavier, la recherche de mots de passe et d’accès pour les jeux en ligne/comptes emails/ services financiers autant que la manipulation des transactions financières elles-mêmes. Sur la première moitié de 2012, la part de ces malware a encore augmenté et s’établit à 17,4%. Dans ce classement, le nombre de spywares qui ciblent les identifiants de jeux ont fait une percée remarquable. Le nombre de troyens bancaire dans la catégorie des spywares s’est aussi accru pour atteindre les 14%. Les opérations bancaires en ligne sont devenues un véritable marché dans l’économie des cybercriminels. Les logiciels espions prennent ainsi la deuxième place, juste derrière le groupe « chevaux de Troie » qui rassemble un très grand nombre de fonctionnalités malveillantes. 1 Les chiffres de ce rapport sont basés sur l’identification des codes par leurs signatures. Elles sont basées sur des similarités dans le code. Des codes malveillants semblables sont rassemblés dans des familles, dans lesquelles des écarts mineurs sont considérés comme des variantes. Les fichiers complètement différents constituent la base de leurs propres familles. Le nombre repose sur des variantes de nouvelles signatures créées dans la première moitié de2012 Copyright © 2012 G Data Software AG 3 G Data Malware Report 1/2012 Graphique2: Nombre de nouveau malware par catégorie sur les cinq derniers semestres. Le nombre de malware des catégories backdoors, downloaders et outils est aussi en hausse. Ceci est un bon indice pour affirmer que de nombreux ordinateurs sont toujours intégrés dans des botnets. Les Downloaders assurent le téléchargement de nouveaux fichiers malveillants dès que l’ordinateur a été infecté. Les Backdoors permettent ensuite de prendre le contrôle à distance de l’ordinateur et de l’intégrer dans un botnet. Les outils (Tools) sont utilisés pour automatiser l’infection d’autres postes, gérer le réseau de machines infectées ou directement utiliser l’ordinateur à des fins illégales (notamment, l’envoi de spam). Capture1: échantillon de messages affichés par des malwares pratiquant le rançonnage de leurs victimes. Copyright © 2012 G Data Software AG Le nombre de logiciels de rançonnage, qui appartiennent au groupe des chevaux de Troie, a aussi augmenté. Ces programmes verrouillent l’ordinateur ou chiffrent les fichiers et activent différents scénarios pour demander une rançon à payer via uKash, Paysafecard ou d’autres services de paiements anonymes. Dans ces scénarios, on retrouve régulièrement la mise en accusation de l’utilisateur pour ne pas avoir de licence valide de Windows, le téléchargement illégal de 4 G Data Malware Report 1/2012 fichiers ou l’utilisation de logiciels contrefaits. La demande de paiement se fait souvent en utilisant le nom d’organisations connues : la gendarmerie, Microsoft ou ceux d’organismes défendant l’application du copyright (GVU ou GEMA). Pour les cybercriminels, la diffusion des chevaux de Troie qui chiffrent les données et des faux antivirus (fake AV) est rentable : L’argent extorqué rémunère directement les auteurs des attaques. Aucun intermédiaire n’est nécessaire pour ce type d’arnaque. L’expérience a montré que les cyberescrocs cherchent en permanence les solutions les plus simples pour maximiser leurs gains. Ceci s’applique tant aux malwares sous PC que ceux diffusés sur les plateformes mobiles2. Plates-formes : Windows au top À l’instar des programmes normaux, les malwares sont développés pour une plateforme spécifique. Windows a, depuis des années une part très élevée dans cet univers. Et ce ne sont pas ces six derniers mois qui viendront contredire cette affirmation. La part de malwares sous Windows3 s’est encore accrue de 0,2% pour attendre 99,8% de la totalité des codes malveillants connus. La plupart des nouveaux malwares continuent de faire leur apparition dans l’environnement Windows. Ceux basés sur des sites web occupent la troisième place du palmarès. Ici néanmoins, la base de signatures ne nous permet pas de déceler une tendance claire quant au nombre de nouveaux programmes malveillants : la majorité des « web scripts » étant détectée sous la même signature générique, aucune nouveauté n’a été signalée sur ce terrain. La situation est identique pour les malwares des plateformes Apple (Mac/iOS). Les statistiques de la page 6 sont plus éclairantes sur ce qu’il se passe au niveau des smartphones. Diff. Diff. #2012 H1 #2012 H1 Platforme #2012 H1 part #2011 H2 part #2011 H2 #2011 H1 1 Win 1,360,200 98.4% 1,305,755 98.2% +4.2% +11.7% 4 2 MSIL 18,561 1.4% 18,948 1.4% -2.0% -14.6% 3 WebScripts 1,672 0.1% 2,402 0.2% -30.4% -46.5% 4 Java 662 <0.1% 244 <0.1% +171.3% +111.5% 5 Scripts5 483 <0.1% 626 <0.1% -22.8% -42.0% Tableau 1: Top 5 des plates-formes sur les deux derniers semestres 2 Voir le paragraphe "code nuisible sur mobile" page 16 Malware pour Windows signifie ici que les fichiers exécutables au format PE appartiennent au Microsoft intermediate Language (MSIL). MSIL est un format intermédiaire utilisé dans l’environnement de programmation .net. La plupart des applications .NET sont indépendantes de la plateforme, mais elles sont pratiquement toutes utilisées sous Windows. 4 Une erreur d’arrondie dans le précédent rapport a été corrigée ici passant ce chiffre de 1,3% to 1,4%. 5 Les Scripts sont des fichiers batch ou des scripts/programmes écrits en VBS, Perl, Python ou Ruby. Copyright © 2012 G Data Software AG 5 3 G Data Malware Report 1/2012 Codes malveillants : à quand le déluge sur Android ? Différentes données peuvent être utilisées pour compter les malwares sous Android. L’une d’entre elles est le nombre de fichiers malveillants. Sur le premier semestre 2012, 25,611 fichiers6 sont arrivés dans le SecurityLabs de G Data. Malheureusement, il est difficile de retracer la chronologie de diffusion de tous ces échantillons,7 car la date exacte du premier enregistrement de chaque échantillon n'est pas toujours connue. 8 Le Graphique 2 montre la diffusion de tous les échantillons dont la date d’apparition a été clairement établie. Graphique 2 : diffusion des fichiers dont la date d’apparition est connue. La plupart des fichiers dont la date d’apparition n’a pas pu être clairement établie proviennent de groupes qui incluent des codes malveillants anciens. Si l’on ajoute ces fichiers aux valeurs des mois précédents9, on obtient le Graphique 3. Cette consolidation des données permet de faire apparaitre l’accroissement continu du nombre de nouveaux malware sous Android. Graphique 3: timing d’apparition des nouveaux malwares sous Android après intégration des souches anciennes. À partir des signatures virales10, les fichiers malveillants peuvent être assignés à certaines familles de malware et leurs variantes. Les 25,611 codes malveillants trouvés sur Android peuvent être classés dans 737 variantes et 217 familles. 80 nouvelles familles sont apparues au premier semestre 2012. Le Tableau 2 montre quelles familles ont le plus de variantes. 6 Les malwares sous Android peuvent être identifiés sur la base de plusieurs fichiers. Le package d’installation (APK) contient de nombreux fichiers qui incluent le code et les propriétés d’autres éléments. Le comptage ne prend en compte que les fichiers APK même s’ils sont composés de plusieurs fichiers. 7 Par échantillon, nous entendons des codes malveillants. Aussi appelés échantillon aléatoire, ils se distinguent par la somme de contrôle de chaque fichier. 8 53.1% des codes malveillants pourraient être assignés à une date précise. L’assignation a été effectuée le 23 aout 2012. 9 Les chiffres ont été obtenus en effectuant une distribution rétrospective des six derniers mois. 10 The count of signatures and variants is based on the signatures from the G Data MobileSecurity products. Copyright © 2012 G Data Software AG 6 G Data Malware Report 1/2012 L’ingéniosité des auteurs de malwares et leur capacité à trouver de nouveau scénario d’attaque font que le nombre de nouveaux codes malveillants ainsi que le nombre de familles va continuer à s’accroitre. Mac OS X : Le ver est-il dans la pomme ? Familles FakeInst Jifake OpFake KungFu BaseBridge GinMaster JSmsHider RuFraud Adrd MobileSpy # variantes 59 50 44 39 21 20 15 15 13 13 Depuis des années, le marché des codes malveillants a été dominé par ceux destinés aux plateformes Windows. Jusqu’à maintenant, les autres plateformes n’ont joué aucun rôle sur ce marché et ça ne semble pas changer. Les utilisateurs de Windows ont eu à subir des campagnes publicitaires se moquant des déboires de leurs PC. Aujourd’hui, les utilisateurs d’ordinateur sous Mac OS X doivent Tableau 2: Liste des familles de aussi se préoccuper de la santé de leur machine. malwares sous Android avec le plus de variantes (1er semestre 2012) Sur les dernières années, seulement un petit nombre de malwares ont été découverts sous Mac OS X. En 2006, le premier ver réseau Leap, récupérait tous les contacts du programme iChat. Son activité est restée limitée et il est longtemps resté le seul code malveillant sous Mac OS X. L’année suivante, DNSChanger a fait son apparition. Ce cheval de Troie caché dans un faux codec QuickTime était destiné à voler des données personnelles. En dehors de cela, les astuces d’ingénierie sociale en vogue sous Windows n’auront fait que quelques victimes parmi les utilisateurs de Mac OS. En 2008, les ordinateurs d’Apple ont découvert leur premier scareware avec MacSweeper. En plus de l’apparition de messages impromptus, le programme demandait le paiement de 39,99$. Peu après, des spywares ont aussi été adaptés à OS X (ex : Hovdy). L’année 2009 a vu apparaitre IService, un malware prétendant être le logiciel iWorks. Ce dernier intégrait la machine dans un botnet grâce à un backdoor intégré. Malgré la multiplication des malwares et une diffusion par plusieurs canaux, les logiciels malveillants sont restés anecdotiques. Au début de 2010, la donne a changé. Le groupe qui avait diffusé le scareware WinWebSec sous Windows s’est attaqué aux utilisateurs Mac. Des programmes appelés MacDefender, MacSecurity et MacProtector ont été mis en avant dans les résultats de recherche de Google. Après l’installation, l’apparition de sites porno devait convaincre les utilisateurs que leur ordinateur était infecté et qu’ils avaient besoin d’un logiciel de protection. Selon des rapports internes, la hotline d’Apple a été submergée de demandes et il a fallu un moment avant que les instructions pour se débarrasser de ces programmes malveillants soient données. Une autre variante de ces programmes appelée MacGuard est arrivée à s’installer sans que l’utilisateur ait à fournir le mot de passe de la machine qui normalement est requis pour toute installation. En février 2012, les premières variantes du malware Mac Flashback ont été découvertes. Ces variantes exploitaient une vulnérabilité dans Java qui permettait d’infecter un ordinateur lors de la visite d’un site web malveillant. Cette infection se déroulait sans aucune sollicitation de l’utilisateur. Entre autres choses, ce malware intégrait les ordinateurs infectés à un botnet. En avril, un rapport a fait état de plus de 600.000 Mac infectés. La plupart tournaient sous la version « Snow Leopard » du système d’exploitation. Preuve du changement en cours, pour la première fois, Apple a publié un outil spécialement dédié à la suppression de ce code malveillant. Il est donc acquis aujourd’hui que les malwares sont arrivés dans l’univers des ordinateurs Mac. Copyright © 2012 G Data Software AG 7 G Data Malware Report 1/2012 La période de test est terminée Pour les malwares sur Mac OS, la période des « preuves de concept » (proof of concept) est bel et bien terminée. Les cybercriminels voient avec beaucoup d’enthousiasme que le système d’exploitation des Mac possède autant de vulnérabilités non corrigées et exploitables que son concurrent Windows. Autre signe du changement dans le monde des malwares pour Mac : Apple a supprimé son slogan « immunisé contre les virus PC » et l’a remplacé par « conçu pour être sûr »11 Sur les prochains mois, nous nous attendons à voir de plus en plus de malware sous Mac OS X. Les zones où Windows et Mac OS se rapprochent seront les premières touchées: social engineering et failles accessibles via les sites web et les navigateurs. Baromètre des risques Sur les six premiers mois de 2012, une nouvelle augmentation des attaques a été constatée sur les postes des utilisateurs des solutions G Data. C’est ce que dévoile le programme MII12. Rang Nom Pourcentage 1 Trojan.Wimad.Gen.1 3.82% 2 Win32:DNSChanger-VJ [Trj] 1.33% 3 Exploit.CplLnk.Gen 0.76% 4 Worm.Autorun.VHG 0.67% 5 Trojan.Sirefef.BP 0.67% 6 Trojan.Sirefef.FZ 0.54% 7 Trojan.AutorunINF.Gen 0.54% 8 Win64:Sirefef-A [Trj] 0.36% 9 Trojan.Sirefef.BR 0.29% 10 Gen:Variant.Application.InstallCore.4 0.29% er Tableau 3 : Statistiques issues de MII sur le 1 semestre 2012 Présent depuis longtemps dans notre palmarès, Trojan.Wimad.Gen.1 se place donc à la première place avec près de 4% des attaques détectées. Il représente 1 signalement sur 26 détections par les utilisateurs des solutions G Data. Ce malware prend la forme d’un faux codec prétendument nécessaire pour lire des fichiers multimédia. Les codes malveillants Autorun qui apparaissent aux 4e et 7e places ainsi que l’exploit Exploit.CplLnk.Gen à la 3e position ne sont pas, non plus, des nouveaux venus. Le premier malware « nouvel entrant » dans ce top 10 est le cheval de Troie de la famille Sirefef. Cette famille très versatile apparait à quatre reprises dans notre classement. Sa structure modulaire lui donne accès à tout un panel d’attaques. Ces malwares utilisent des fonctions de rootkit pour cacher leur code malveillant et s’en prennent en premier lieu au système de fichiers du pc infecté. Les résultats des moteurs de recherche du web sont ensuite manipulés pour que l’utilisateur soit 11 http://www.huffingtonpost.co.uk/2012/06/25/apple-removes-claims-of-viruses_n_1624309.html La Malware Information Initiavie (Mll) tire sa puissance de sa communauté en ligne et tous les utilisateurs ayant acquis une solution de sécurité G Data peuvent y participer. Seul prérequis: l'activation de cette fonction dans l'un des programmes de G Data. Par la suite, chaque fois qu'un malware est détecté et supprimé, un rapport totalement anonyme est ajouté à la base statistique de G Data Security Labs Copyright © 2012 G Data Software AG 8 12 G Data Malware Report 1/2012 redirigé vers des pages bien précises afin d’afficher des bannières publicitaires et ainsi générer des revenus pour le gestionnaire du malware (pay per click advertising). Sirefef est distribué via des sites web en utilisant une véritable boite à outils d’exploit ( Blackhole ou Crimepack), mais aussi par le biais d’email et de leurs fichiers attachés. Selon nos observations, les signalements des malwares de la famille Sirefef sont encore en hausse. Sirefef est aussi installé grâce à une variante de DNSChanger. ( Win32:DNSChanger-VJ [Trj], qui détient aussi la seconde place de notre classement, mérite vraiment une mention spéciale.) Cependant, la partie malfaisante d’un malware de la famille Sirefef peut s’avérer de n’importe quelle nature et ne dépend que des préférences de l’auteur du code malveillant. Autre élément notable de cette période, les adware sont en forte baisse. Sur la première moitié de l’année 2012 seul Gen:Variant.Application.InstallCore.4 est apparu dans le top 10. Alors que la part des adwares a beaucoup fluctué sur le second semestre 2011, ces six derniers mois ont montré une régression des attaques de ces logiciels et plus généralement des programmes potentiellement indésirables (PUP) dont les adwares font partie.13 Graphique 4: Part des programmes potentiellement indésirables et des adware détectés par le Malware Information Initiative. 13 Voir Graphique 4 Copyright © 2012 G Data Software AG 9 G Data Malware Report 1/2012 Site Internet : Analyse sémantique et géographique Catégorisation par thème Sur les six premiers mois de 2012, 201 , le regroupement des sites web malveillants14 par thème ne montre que des changements mineurs par rapport à la période précédente. (Les chiffres ne font pas la distinction entre les sites spécialement créés pour des activités malveillantes et ceux qui ont été détournés de leur objectif premier à l’insu l’in de leur propriétaire.) Encore une fois, le top 5 représente plus de la moitié des domaines repérés et le top 10 en rassemble 70.7%. Les thématiques présentées couvrent donc la plupart des sites malveillants même si l’on peut noter une légère diversification diversifica (le top 10 précédent représentait 73,1% du total). Deux nouveaux entrant dans ce classement : l’ éducation à la huitième place et la musique (10e ). Ils ont remplacé les sujets partage de fichiers (5e dans le précédent classement) classement et la santé (7e ). La disparition du sujet « partage de fichier » peut être attribuée aux poursuites judiciaires à l’encontre encontre de sites comme The Pirate Bay ou d’autres sites de partage (megaupload…) . Les thématiques musique et divertissement, accompagnent l’accroissement (cf Tableau 3) 3 du malware Trojan.Wimad.Gen.1 qui se fait passer pour un composant de lecteur audio/vidéo. Depuis que les échanges P2P sont pris pour cible par les autorités, les utilisateurs emploient d’autres voies pour récupérer les fichiers qui les intéressent. intéressent Ceci inclut le téléchargement direct via des sites web sans utilisation de logiciels spécifiques. Ils sont donc plus susceptibles de tomber mber dans certains scénarios préparés par les auteurs de malware : le site peut être infecté et contenir des fichiers contrefaits qui installent des malwares sur l’ordinateur. Il peut aussi s’agir de phishing avec des demandess de données personnelles à l’utilisateur pour débloquer le téléchargement des fichiers demandés. demandés La principale explication de l’augmentation de la thématique « jeux » (qui qui passe de la 10e à la 6e place) est l’augmentation du nombre de sites malveillants relié au jeu Starcraft. La catégorie « blog » a aussi progressé dans le classement (de la 8e à la 4e place) rappelant encore une fois que les 14 Dans ce contexte, les sites web malveillants rassemblent à la fois les sites de phishing et ceux qui propagent des codes malveillants. malv Copyright © 2012 G Data Software AG 10 G Data Malware Report 1/2012 attaques massives contre les systèmes de gestion des blogs est l’une des méthodes de détournement de sites les plus populaires. Quelle que soit la méthode utilisée -vol du mot de passe administrateur ou exploitation d’une vulnérabilité- dès que les pirates ont accès à l’administration du blog, ses visiteurs peuvent être attaqués. Conclusion L’analyse thématique montre clairement qu’il y a un risque d’infection à n’importe quel moment et que cela peut arriver à n’importe qui ! Les blogs sont particulièrement visés, car ils sont faciles à infecter, drainent un nombre substantiel de victimes et leur attaque peut se faire de façon massive en utilisant des vulnérabilités de sécurité. Ces attaques sont répandues et sont menées quotidiennement. Ceci mis à part, un sujet populaire comme la coupe européenne de football15 ou, cette année, les Jeux Olympiques16 , feront des cibles bien plus attractives en raison du nombre de visiteurs potentiels. Les auteurs de sites malveillants le savent et préparent leurs sites, enregistrent des noms de domaine, mènent des attaques, en fonction de cette actualité. Localisation des sites web malveillants En plus de l’analyse thématique, il est intéressant de relever la distribution géographique des sites web malveillants. Notre carte ( Graphique 5 ) montre la concentration de sites par pays. Les choses ont quelque peu changé depuis la seconde moitié de 2011. La France perd sa première place en faveur de l’Allemagne. Par ailleurs, le nombre de sites malveillant a considérablement Localisation moins populaire Localisation plus populaire Graphique 5 : Carte des pays hébergeant des sites web malveillants 15 http://blog.gdatasoftware.com/blog/article/homepages-of-several-famous-european-football-clubs-hacked.html http://www.gdatasoftware.co.uk/about-g-data/press-centre/news/news-details/article/2836-2012-olympics-sports-fans-tar.html Copyright © 2012 G Data Software AG 11 16 G Data Malware Report 1/2012 baissé en Turquie depuis la dernière analyse. Pour le reste, le classement a peu changé ; seul le nombre de sites au Royaume-Uni, en Suède et aux Pays-Bas a augmenté. Outre-Atlantique, le constat reste dans ce qui est déjà connu : les États-Unis sont toujours le pays hébergeant le plus de sites malveillants. Côté asiatique, la Chine et la Thaïlande ont vu leur parc de site augmenter. À l’inverse, les sites malveillants ont décru en Inde. Banque en ligne Le premier semestre 2012 a été marqué par des poursuites judiciaires à l’encontre de personnes très influentes dans le monde des chevaux de Troie bancaire. Sur le marché noir, l’auteur du cheval de Troie SpyEye a annoncé qu’il travaillait sur une seconde version de son malware et qu’il ne serait pas joignable pendant un moment. Peu de temps après, on apprenait que des poursuites avaient été engagées à son encontre ce qui expliquait mieux son absence. A cela s’ajoute l’arrestation du créateur de ZeuS.17 Q1 2012 Sinowal SpyEye ZeuS Bankpatch Carberp Others 49.9% 18.2% 16.2% 12.5% 1.9% 1.3% Q2 2012 Bankpatch Sinowal ZeuS SpyEye Others 34.1% 30.9% 20.4% 13.1% 1.4% Tableau 4: part des chevaux de Troie bancaire détectés par BankGuard sur Q1 et Q2 2012 Graphique 6 : Part des chevaux de Troie bancaire détectés par BankGuard sur le 1er semestre 2012 Tandis que la diffusion de SpyEye a décliné sur les quatre derniers mois de 2012, la tendance a été inverse pour son concurrent ZeuS dont le nombre d’infections a rapidement augmenté malgré son arrestation. L’explication est simple : l’auteur original de ZeuS ne jouait pratiquement plus aucun rôle dans son développement : ceux qui profitent de ce malware créent leurs propres versions basées sur le code source de ZeuS. La version originale a été supplantée par ses clones. Ceux publiés en 2011, comme IceIX et LICAT, ont atteint des sommets en nombre de postes infectés même s’ils n’étaient pas très innovants. Ce n’est pas le cas des clones apparu en 2012: Gameover a intégré une communication P2P en lieu et place d’un système plus classique de serveur 17 http://krebsonsecurity.com/2012/03/microsoft-takes-down-dozens-of-zeus-spyeye-botnets/ Copyright © 2012 G Data Software AG 12 G Data Malware Report 1/2012 de commande centralisé. Cette innovation a été rendue nécessaire par l’accroissement de la lutte contre les réseaux de botnet menée par les autorités et les hébergeurs de contenus. Les communications P2P rendent plus difficile la suppression d’un botnet qu’une structure reposant sur un serveur centralisé. Autre clone de Zeus à s’être fait un nom : Citadel. Sa particularité ? Ses auteurs ont proposé, aux utilisateurs de ce malware, un système de support et la possibilité de faire des demandes de fonctionnalités comme on peut le trouver dans les solutions commerciales classiques. Les auteurs de ZeuS et de son successeur SpyEye n’ont pas été les seuls à avoir à faire avec la justice. Plusieurs personnes derrière le cheval de Troie Carberp ont aussi été arrêtées. Fin 2011, Carberp continuait à se répandre rapidement grâce à l’intégration d’un bootkit. Après les arrestations en mars18 et juin 201219, le malware a pratiquement disparu. Du côté de Sinowal, le nombre d’infections est resté très élevé. Sur les quatre derniers mois, Bankpatch lui a volé la première place de la catégorie. Ceci a été rendu possible par l’ajout, dans ce malware, de fonctions de désactivation des logiciels antivirus. Les autres chevaux de Troie comme Bebloh, Ramnit, Silentbanker et Gozi, ont été très peu présents sur la période. Le fait marquant de ce premier semestre 2012, c'est aussi la professionnalisation des schémas d’attaques. Ainsi, l’une des variantes de SpyEye activait la webcam de ses victimes et utilisait le flux vidéo pour ses propres besoins.20 En comparaison, la plupart des schémas d’attaque précédents étaient relativement simples : par exemple, lorsqu’une victime se connectait à son service de banque en ligne, une fenêtre lui demandait plusieurs TAN pour s’identifier, données qui étaient immédiatement envoyées au cybercriminel. Les mises en garde des banques ont réduit le nombre d’utilisateurs se faisant avoir par ces pop-up même lorsqu’elles reprennent les logos d’un établissement bancaire. D’autres schémas étaient basés sur des transferts d’argents du compte de la victime vers celui du cybercriminel sans cacher le nom du bénéficiaire ni la présence d’une transaction dans l’activité du compte. Depuis que les transferts sont temporisés par les banques, ce schéma est beaucoup moins pertinent puisque les utilisateurs ont le temps d’annuler les transactions. Depuis, de nouvelles méthodes plus sophistiquées ont été employées : les scénarios Automatic Transfer System (ATS) 21, Ici, aucune interaction avec l’utilisateur n’est requise. Les transactions n’apparaissent plus dans la liste et même le solde du compte est maquillé. Le vol ne peut plus être repéré par la victime. La technologie G Data BankGuard empêche ce type d’attaque en interdisant l’insertion de codes dans la page web qui concrétisent normalement cette attaque de « man-in-the-browser ». Au second semestre 2012, aucun cheval de Troie bancaire n’a utilisé d’autres formes d’attaque et aucun n’a réussi à échapper à la détection de G Data BankGuard! Sur le second semestre 2012, de nouvelles personnes risquent de prendre les places des auteurs des malwares ZeuS et SpyEye avec surement beaucoup moins de « publicité » que leurs prédécesseurs afin d’éviter d’être rapidement arrêtées. Les schémas d’attaques seront sans doute révisés pour accroitre leur efficacité. 18 http://group-ib.com/?view=article&id=664 http://group-ib.com/index.php/o-kompanii/176-news/?view=article&id=633 20 http://blog.gdatasoftware.com/blog/article/spyeye-living-up-to-its-name.html 21 https://www.net-security.org/malware_news.php?id=2163 Copyright © 2012 G Data Software AG 19 13 G Data Malware Report 1/2012 Code nuisible sur mobile Avec l’accroissement de ce marché, les smartphones et tous les périphériques mobiles sont de plus en plus attirants pour les créateurs de malwares. De 700.000 téléphones et tablettes Android activés chaque jour en décembre 2011, on est passé à 900.000 /jour en juin 2012.22 Cette tendance promet aux cybercriminels un retour sur investissement de plus en plus intéressant. Un panel assez large de codes malveillants est actuellement dans la nature. Le net regorge de chevaux de Troie, virus, riskware et portes dérobées. Cependant, ces malwares ne peuvent pas toujours être Capture 2 : tweet d’Andy Rubin au sujet des activations de mobile sous détectés sur des erreurs de Android (source: http://twitter.com/ARUBIN) programmation ou de conceptions : leurs développeurs deviennent de plus en plus doués lorsqu’il s’agit de cacher les fonctions malveillantes de leurs programmes. Les malwares apportent même les fonctions réelles qui sont mises en avant pour que l’utilisateur les télécharge. Ce dernier n’a donc aucune chance de les repérer. La seule parade est de récupérer des fichiers uniquement de sources sûres et d’utiliser des logiciels de sécurité afin de détecter les comportements suspects. Autre élément révélateur, la demande de développeurs de malware sous Android est en hausse. Sur 2011, la plupart des malwares mobiles se concentraient sur l’envoi de SMS « premium » et sur l’appel de lignes surtaxées (dont les conséquences ne sont visibles que sur le relevé de communication à la fin du mois…). Pour atteindre leurs objectifs, ces malwares se sont cachés dans des applications connues et ont été distribués sur des marchés parallèles. L’espionnage des utilisateurs a aussi été un des passe-temps favoris des créateurs de ces codes malveillants. Grâce à des bannières publicitaires présentes dans des applications, les utilisateurs ont été redirigés sur des sites web leur demandant des données personnelles pour s’identifier dans des jeux. D’autres messages leur demandaient d’installer des applications ou de recommander telle ou telle application à leurs amis par SMS, et ce, sans lien avec l’application d’origine. 2012 a aussi été marqué par une reprogrammation complète voir la création d’applications apportant certes les fonctionnalités indiquées, mais aussi des fonctions malveillantes. Cette stratégie a permis à ces malwares de rester plusieurs jours voire plusieurs semaines dans le Play Store de Google. Même les utilisateurs expérimentés ont pu être abusés par ces applications populaires qui révèlent leur code malveillant une fois installées. Le calendrier que nous avions prédit pour 2012 a donc bien été respecté. Pire, le nombre de malware n’a pas seulement augmenté23, le nombre d’auteurs de ces codes malveillants a aussi explosé. Heureusement, les poursuites judiciaires ne se sont pas fait attendre. Ainsi, deux Français ont été arrêtés après avoir gagné près de 100.000 € en diffusant un malware sous Android.24 22 voir Capture 2 Voir le paragraphe " Codes malveillants : à quand le déluge sur Android ?", page 6 http://www.linformaticien.com/actualites/id/23741/2000-utilisateurs-d-android-escroques-en-seine-saint-denis.aspx Copyright © 2012 G Data Software AG 23 24 14 G Data Malware Report 1/2012 Exemple concret pour cette période, le cheval de Troie FakeDoc, (aussi connu sous le nom de Battery Doctor) a employé un concept très porteur pour infecter un grand nombre de périphériques Android. Présenté comme un outil d’optimisation de la batterie, ce programme a aussi espionné ses utilisateurs, collecté des données (informations sur le compte Google, coordonnées GPS, numéro Screenshot 4 : Trojan MMarketpay se cachait dans une application fonctionnelle de météo Screenshot 3 : Trojan FakeDoc était camouflé dans une application d’optimisation de batterie IMEI, version du système et du navigateur) et affiché des publicités même après la suppression de l’application. Le tout s’est fait avec une information minimale de l’utilisateur. Autre point intéressant, ce cheval de Troie a utilisé le service « push » du système afin d’afficher ses bannières publicitaires. Par ce biais, les auteurs ont reproduit un schéma déjà présent sur PC : la rémunération au clic de bannière. Sur les six derniers mois, plusieurs malware se sont imposés par leur nombre: Le backdoor Plankton (Android.Backdoor.Plankton.A) dont la fonction a été d’envoyer l’historique de navigation et les liens favoris ainsi que le numéro IMEI et IMSI vers un serveur défini par l’attaquant. BaseBridge (Android.Trojan.BaseBridge.A) et Geimini (Android.Trojan.Geimini.E) -dont la première variante avait été déjà découverte en 2010- ont aussi été très présents grâce à un grand nombre d’applications infectées. Le cheval de Troie bancaire Zeus-in-the-Mobile (ZitMo), qui transmet les mTANs reçus par SMS vers un serveur est toujours dans la nature. Les applications populaires restent toujours très ciblées par les développeurs de malwares. Copyright © 2012 G Data Software AG 15 G Data Malware Report 1/2012 Cependant, les fuites de données ne viennent pas seulement de l’activité des malwares : L’application WhatsApp qui remplace le système de SMS des smartphones a été prise en flagrant délit de nonprotection des données qu’elle gère : un pirate pouvait intercepter toutes les données envoyées par cette application (messages, images et même coordonnées GPS) le tout sans avoir à modifier l’application officielle.25 Une erreur de programmation avait supprimé le chiffrement des données lors de l’utilisation d’un réseau wifi. (Sauf sur Blackberry). Un programme d’interception (sniffer) a été publié pour rendre encore plus facile la collecte de ces informations. Bénéficiant d’un bon rapport temps de développement/gains, les applications qui exploitent ce type de vulnérabilités et les chevaux de Troie intégrés à des programmes légitimes vont continuer à se répandre. Le seul moyen d’enrayer le processus est Capture 5 : La lecture d’une conversation d’un tiers est très facile avec l’application WhatsApp une détection rapide de ces malwares par une solution Sniffer. de sécurité et la prise de conscience des utilisateurs de smartphones et de tablettes que leurs périphériques doivent être protégés comme leurs ordinateurs. En 2012, malgré la mise en place du programme Google Bouncer, qui scanne en permanence les comptes des développeurs Android ainsi que les applications publiées, le marché Google Play contenait encore des malwares. Google Bouncer est mécanisme de protection destiné à empêcher la publication d’applications dangereuses sur le magasin d’applications de Google. En juin 2012, deux chercheurs américains ont démontré que ce mécanisme pouvait être déjoué26 et ont critiqué officiellement la pertinence de cette protection. Le fait qu’il y ait encore des malwares sur le Google Play Store vient aussi de l’incapacité de Google à définir une stratégie claire. Même si des applications sont détectées comme malveillantes et supprimées de Google Play, elles sont réadmises après une légère modification du code. Une astuce utilisée par les auteurs de malwares est de demander une autorisation d'utiliser des services payants avant l'installation de l'application. Cette première étape, qui n’attire l’attention que des utilisateurs les plus vigilants est bien cachées. La plupart des utilisateurs la sautent, croyant être en sécurité dans le site de Google Play. La plupart ne savent pas, non plus, que les services payants sont très courants sur ce site et que cela peut même concerner les applications les plus simples. Les licences d’utilisation (EULA), que l’utilisateur accepte souvent sans les lire, peuvent aussi poser problème. D’autres modifications peuvent aussi apparaitre dans les techniques de chiffrement des communications. Cette sécurité supposée qu’offre le marché officiel Google Play est l’une des raisons qui a poussé G Data à ajouter la catégorie riskware dans les malwares sous Android. Cette catégorie rassemble 25 http://blog.gdatasoftware.com/blog/article/using-whatsapp-in-wifi-makes-conversations-public.html https://blog.duosecurity.com/2012/06/dissecting-androids-bouncer/ Copyright © 2012 G Data Software AG 26 16 G Data Malware Report 1/2012 des programmes qui ne sont pas des malwares au sens strict, qui répondent même aux critères de Google, mais qui ont des fonctions potentiellement non désirées. Android.Riskware.SndApps.B, appelé plus communément SndApps27 en est un bon exemple. Si l’utilisateur démarre l’application, il verra apparaitre un écran qui joue un son lorsqu’on touche la surface. Le mode "Whoopee Cushion" reproduit, par exemple, un bruit de flatulence… Son prédécesseur Android.Trojan.SndApps.A, a été supprimé du magasin Google en juillet 2011 peu après sa publication. La seconde version a été publiée par Typ3-Studios et a été accompagnée d’une licence d’utilisation très détaillée et est disponible sur le Google Play Store depuis aout 2011. En supplément, les données envoyées par cette application ne sont pas chiffrées comme le préconise Google. Capture 6 : Les applications de Typ3-Studio, qui ont été remises sur le marché official de Google après une modification mineure. Le risque pour les utilisateurs de cette application est que le contrat d’utilisation ne puisse pas être vu directement. En effet, l’utilisateur doit appuyer sur le bouton menu pour que le détail du contrat apparaisse. Si le périphérique n’a pas de bouton « menu », il ne pourra pas voir le texte. Dernier constat de ce second semestre 2012 : de nombreux cas d’infection par des paquets APK (format de fichier d’installation) automatiquement téléchargés ont été rapportés. Leur origine est double. Dans un cas, l’utilisateur peut avoir navigué sur un site via son téléphone (soit de manière intentionnelle, soit en s’étant fait rediriger par une application installée). Le site lui a alors demandé le téléchargement d’un paquet APK. Dans un autre cas, ce téléchargement a été initié à travers une application déjà installée et qui Capture 7 : dans les paramètres de sécurité, les utilisateurs devraient interdire les sources a proposé un nouveau programme sans passer par inconnues. Google Play. 27 http://blog.gdatasoftware.com/blog/article/malware-or-not-malware-thats-the-question.html Copyright © 2012 G Data Software AG 17 G Data Malware Report 1/2012 Ces deux scénarios sont un moyen très efficace pour diffuser des malwares : le téléchargement s’effectue sans que l’utilisateur n’ait à intervenir. Ce dernier est uniquement sollicité pour démarrer l’installation ou l’application téléchargée. Pour les utilisateurs de périphériques Android, il faut donc continuer à télécharger les applications uniquement de sources sûres et ne pas oublier de lire la description des applications, les autorisations qu’elles demandent et les critiques émises par les autres utilisateurs. Par exemple, une application venant d’un serveur hébergé en Chine ne devrait pas être installée sans les paramètres de sécurité recommandés28. La hausse continue du nombre de périphériques sous Android et leur capacité à accéder aux nouveaux contenus et à de nouvelles fonctionnalités font que le nombre de malware va continuer à croitre. Les malwares de plus en plus sophistiqués devraient faire leur apparition : toutes les options n’ont pas encore été exploitées par les développeurs de codes malveillants. Le marché européen des transactions par NFC (ie Google Wallet) fait aussi partie des futurs scénarios des cybercriminels. Pour l’instant, les téléphones embarquant cette technologie ne sont pas encore assez nombreux en Europe. De plus, les scénarios d’attaque possible ne sont que dans les laboratoires. C'est pourquoi leur apparition réelle ne se fera que lorsque le marché sera plus large. Ce qui ne saurait tarder : la société Gartner prévoit que le nombre d’utilisateurs des paiements par téléphone portable devrait atteindre 212,2 millions en 2012, une augmentation de 51,7 millions par rapport à l’année précédente. Leurs prévisions sur les transactions par NFC restent cependant assez modestes : ces dernières devraient augmenter significativement à partir de 2015/2016.29 Ces scénarios vont continuer à faire peser une menace sur le futur. Le besoin de protection contre des risques potentiels va croitre d’autant. Il ne faut cependant pas oublier que les mécanismes de protection ne sont efficaces que s’ils sont suivis et utilisés. Les cybercriminels gagneront la partie tant que des utilisateurs ne protégeront pas correctement leur PC. 28 Voir Capture 7 http://www.gartner.com/it/page.jsp?id=2028315 Copyright © 2012 G Data Software AG 29 18