Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



Enquête sur un incident : vol dans une banque électronique



10 astuces simples pour renforcer la sécurité de votre Mac



PAC et la problématique de la configuration automatique
 
 

  Page d'accueil / Analyses

Virologie mobile, 3e partie

29.09.2009   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab
Denis Maslenikov

Près de 3 ans se sont écoulés depuis la publication des 2 premiers articles du cycle "Virologie mobile". Un tel laps de temps entre les publications fut le résultat du quasi-gel de l'évolution des menaces mobiles.

Introduction

Au cours des 2 premières années de leur existence (2004-2006), les menaces mobiles ont connu une croissance continue qui a débouché sur l'émergence d’une série de comportements malveillants à destination des téléphones mobiles presque semblables à ceux qui touchaient les ordinateurs : virus, vers, chevaux de Troie, y compris portes dérobées et logiciels espions ou publicitaires.

Les fondations technologiques pour lancer des attaques en masse contre les utilisateurs de téléphones intelligents avaient été posées. Toutefois, ces attaques n'ont finalement pas eu lieu. Cela s'explique par la situation changeante sur le marché des périphériques nomades. Il y a 2 ans, la situation était la suivante : il y avait le leader absolu, à savoir la plate-forme Symbian et puis, tous les autres. Cette situation a persisté jusqu'à ce que nous soyons confrontés à une multitude d'applications malveillantes pour les téléphones intelligents sous Symbian. Et tout changea. Les fabricants de téléphones et les éditeurs de systèmes d'exploitation parvinrent à détrôner Symbian (et Nokia). A l'heure actuelle, Nokia détient environ 45 % du marché des téléphones intelligents.

Puis Microsoft introduisit la plate-forme mobile Windows Mobile. La version Windows Mobile 5, très réussie, fut prise en charge par de nombreux fabricants importants de téléphones. Vint ensuite la version 6 et la publication du code source du système d'exploitation. Windows Mobile détient environ 15 % du marché mondial des téléphones intelligents et dans certains pays, il occupe une position dominante. Windows Mobile a été distribué sous licence chez 4 des plus grands producteurs de téléphones (à l'exception du leader, Nokia) et à l'heure actuelle, le volume de vente de ces périphériques représente plus de 20 millions d'appareils par an.

La société RIM, dont le périphérique Blackberry doté de son propre système d'exploitation est très populaire aux Etats-Unis, a également renforcé sa position. Pour rappel, jusqu'à présent, aucune application malveillante n'a été découverte pour cette plate-forme, à l'exception d'une porte dérobée conceptuelle baptisée BBproxy, créée par des chercheurs de vulnérabilités (http://www.praetoriang.net/presentations/blackjack.html).

Mais l'événement le plus marquant de ces dernières années fut la commercialisation de l'iPhone par Apple. Sur la base d'un développement propre à Apple, la version mobile de Mac OS X, ce téléphone est devenu petit à petit un des appareils de communication les plus vendus au monde. L'objectif annoncé par Apple de vendre 10 millions de périphériques d'ici la fin de l'année 2008 a été atteint. A l'heure actuelle, ce sont déjà plus de 21 millions d'iPhones, tous modèles confondus, qui ont été vendus et si on ajoute à cela les ventes de l'iPod Touch (un iPhone sans téléphone), le nombre total d'appareils vendus atteint 37 millions.

Il ne faut pas oublier non plus la sortie du premier téléphone sous Android, la plate-forme développée par Google, riches en fonctions pour la création d'applications et de services Google. Dans ces conditions, il est difficile de définir la plate-forme à considérer comme la plate-forme de "base".

La situation est bien différente de ce qui s'observe dans les ordinateurs où Microsoft Windows occupe une position dominante. Et c'est précisément la popularité d'un système d'exploitation qui constitue un facteur important pour les cybercriminels lorsqu'ils décident de choisir une cible.

Confrontés à l'absence d'un leader clair sur le marché des systèmes d'exploitation pour appareils nomades, ce qui empêche la réalisation d'une attaque simultanée contre un nombre élevé d'utilisateurs, les auteurs de virus ont dû tout d'abord réduire leurs efforts de développement sur une plate-forme en particulier et ils ont ensuite dû tenter de résoudre la problématique de la compatibilité sur plusieurs plates-formes pour leurs créations.

Nous aborderons ci-après les résultats qu'ils ont obtenus.

Familles et modifications. Statistiques et progressions

Le catalogue des applications malveillantes pour les téléphones mobiles présenté dans la première partie de « Virologie mobile » en date du 29 septembre 2006 reprenait 5 plates-formes exposées à des risques d'infection. Au cours des 3 dernières années, une nouvelle plate-forme s'est ajoutée à la liste originale : il s'agit de la plateforme S/EGOLD (SGold, selon le classement de Kaspersky Lab) utilisée par les téléphones Siemens. Il s'agit d'une plate-forme ouverte, qui permet aux utilisateurs d'installer leurs propres applications sur le téléphone.


Plate-forme Nombre
de familles
Nombre
de modifications
Symbian 62 253
J2ME 31 182
WinCE 5 26
Python 3 45
SGold 3 4
MSIL 2 4

Ces données peuvent être présentées sous la forme d'un diagramme :


Répartition des modifications des objets détectés par plate-forme

Il faut reconnaître que les cybercriminels ont résolu le problème du choix de la plate-forme cible présentée ci-dessus. La solution est apparue au cours de tentatives de développements d'une application multi plate-forme. Ayant abandonné l'idée de créer des applications pour une plate-forme en particulier, ils ont porté leurs efforts sur Java 2 Micro Edition.

La grande majorité des téléphones d'aujourd'hui, y compris les téléphones intelligents, sont compatibles avec Java et permettent l'exécution d'applications Java téléchargées depuis Internet. Une fois maîtrisé la création d'applications malveillantes Java, les auteurs de virus ont non seulement résolu la question du choix de la cible mais ils ont également élargi la zone d'infection car les victimes potentielles étaient non seulement les propriétaires de téléphones intelligents, mais également les utilisateurs de téléphones portables traditionnels.

A la fin du mois d'août 2006, on comptait 31 familles et 170 modifications. Au milieu du mois d'août de cette année 2009, nous avions recensé 106 familles et 514 modifications d'objets détectables pour les périphériques mobiles. Ainsi, en l'espace de 3 ans, le nombre d'objets détectables pour les périphériques mobiles a augmenté de 202 %. Le nombre de familles a quant à lui augmenté de 235 %.


Croissance du nombre de modifications connues (2004-2009)


Dynamique de l'émergence de nouvelles modifications, par mois (2004-2009)

Objets détectables pour périphériques nomades, découverts entre septembre 2006 et août 2009, par famille :


Famille Date
de découverte
Plateforme Brève description
de la fonction
Nombre
de modifications
Wesber sept. 2006 J2ME Diffusion de SMS 1
Acallno sept. 2006 Symbian Vol d'informations 2
Flerprox oct. 2006 Symbian Remplacement des chargeurs système 2
Hidmenu oct. 2006 Symbian Dissimulation de menus 1
Unlock.a oct. 2006 Symbian Déverrouillage du téléphone 1
Smarm jan. 2007 J2ME Diffusion de SMS 10
Mead fév. 2007 Sgold Infection de fichiers 2
Mrex mars 2007 Symbian Remplacement des palettes de couleurs 1
Viver mai 2007 Symbian Diffusion de SMS 2
Feak mai 2007 Symbian Diffusion de SMS avec un lien vers lui-même dans une archive ZIP 1
SHT août 2007 Symbian Outil de piratage 1
Konopla août 2007 Sgold Echec des configurations, remplacement du thème et des images 1
Reboot août 2007 Symbian Redémarrage du périphérique 2
Delcon août 2007 Symbian Suppression des contacts 1
SMSFree oct. 2007 J2ME Diffusion de SMS 10
Flocker oct. 2007 Python Diffusion de SMS 44
Deladdr nov 2007 Sgold Suppression des fichiers du téléphone (carnet d'adresses, applications, SMS, profils wap) 1
HatiHati déc 2007 Symbian Propagation via la carte mémoire MMC, envoi de SMS 1
Fonzi jan. 2008 Symbian Suppression des fichiers 1
Killav jan. 2008 Symbian Suppression de logiciels antivirus 3
Beselo jan. 2008 Symbian Diffusion via Bluetooth, MMS 2
Swapi fév. 2008 J2ME Diffusion de SMS 44
SrvSender mars 2008 Symbian Répond à tous les messages et appels entrants par un SMS aléatoire, supprime les messages 1
Kiazh mars 2008 Symbian Escroquerie, suppression de tous les SMS entrants et sortants 1
InfoJack mars 2008 WinCE Copie sur des disques amovibles, vol d'informations, chargement d'applications à l'insu de l'utilisateur, désactivation de la protection. 3
Gpiares avr 2008 Symbian Diffusion de SMS 2
Kuku mai 2008 Symbian Diffusion de SMS 1
SmsSpy mai 2008 Symbian Envoi des messages de l'utilisateur à un numéro écrit dans un fichier cfg 1
Forvir mai 2008 Symbian Affichage de faux messages d'erreur dans le système et le téléphone, installation du virus 1
Hoaxer mai 2008 J2ME Diffusion de SMS 6
KillPhone mai 2008 Symbian Impossibilité de démarrer le téléphone après son redémarrage 3
Xanel mai 2008 J2ME Diffusion de SMS 4
SMSi mai 2008 J2ME Diffusion de SMS 15
Konov mai 2008 J2ME Diffusion de SMS 14
Kros juin 2008 Symbian Remplacement des fichiers exécutables 1
Blocker juin 2008 Symbian Verrouillage de certaines fonctions du système d'exploitation du téléphone 1
Boxer sept. 2008 J2ME Diffusion de SMS 15
Redoc sept. 2008 WinCE Diffusion de SMS 19
Espaw sept. 2008 J2ME Diffusion de SMS 7
KaspAV août 2008 J2ME Faux antivirus 3
PMCryptic oct. 2008 WinCE Virus-compagnon polymorphe, ver (carte de mémoire) 1
MultiNum oct. 2008 Symbian Diffusion de SMS 1
Razan oct. 2008 J2ME Affichage de faux messages sur l'infection du téléphone 1
Onro oct. 2008 J2ME Diffusion de SMS 3
DoctorW nov 2008 J2ME Faux antivirus 1
SMSSender nov 2008 J2ME Diffusion de SMS 1
Sspy déc 2008 Python logiciel espion 1
Tagsa déc 2008 Symbian Diffusion de SMS 1
Small déc 2008 J2ME Diffusion de SMS 7
Noti jan. 2009 J2ME Contenu mobile par SMS 1
Okpon jan. 2009 J2ME Diffusion de SMS 1
Yxe jan. 2009 Symbian propagation via SMS, collecte d'informations 4
CoS jan. 2009 Symbian Outil de piratage pour l'envoi de SMS spécialement formés 2
Kinap jan. 2009 Symbian Remplacement des polices, des icônes, des logos 7
Vers fév. 2009 Symbian Diffusion de SMS 1
Yakki fév. 2009 Symbian Suppression des polices 1
Disabler fév. 2009 Symbian Blocage des SMS, MMS, appels 1
Getas fév. 2009 J2ME Imitation de virus 1
Xef fév. 2009 J2ME Diffusion de SMS 2
GameSat fév. 2009 J2ME Diffusion de SMS 1
Rebrew fév. 2009 J2ME SMS-Flooder 1
Mexasa mars 2009 J2ME Diffusion de SMS 4
Xavava mars 2009 J2ME Diffusion de SMS 3
Kblock mars 2009 Symbian Blocage du téléphone 1
Garlag mars 2009 J2ME Diffusion de SMS 2
Redrob mars 2009 J2ME Diffusion de SMS 4
Fnusob mars 2009 J2ME Diffusion de SMS 1
Pornidal avr 2009 Symbian Appels vers des numéros payants 2
SMSRtap avr 2009 Symbian Contrôle des SMS, des appels, etc. 3
Trojan-SMS.Agent mai 2009 J2ME Diffusion de SMS 4
Caneo juin 2009 Symbian Contrôle des SMS, des appels, etc. 2
Crymss juin 2009 J2ME Diffusion de SMS 1
Smypa juin 2009 Python SMS-Flooder 1
Enoriv juil 2009 Symbian Diffusion de SMS 1
Smofree août 2009 J2ME Appels vers un numéro payant 1


Total : 75 nouvelles familles

Le nombre d'applications malveillantes pour les périphériques nomades a triplé entre 2006 et 2009. Cela signifie que les taux de croissance observés au cours de la "première étape" (2004 à 2006) se sont maintenus.

Quelles sont les nouveautés ?

La liste que nous avions constituée il y a 3 ans sur les capacités des applications malveillantes mobiles ressemblait à ceci :

  • Diffusion via Bluetooth, MMS
  • Envoi de SMS
  • Infection de fichiers
  • Possibilité d'administrer le téléphone intelligent à distance
  • Modification ou remplacement des icônes, des applications système
  • Installation de polices ou d’applications « fausses » ou incorrectes
  • Lutte contre les logiciels antivirus
  • Installation d’autres codes malveillants
  • Blocage du fonctionnement de la carte mémoire
  • Vol d'informations

Au cours des 3 dernières années, les applications malveillantes pour appareils nomades ont intégré de nouvelles technologies et exploité de nouvelles astuces :

  • Diffusion via supports amovibles (mémoire USB)
  • Exploitation des données de l'utilisateur
  • Désactivation des systèmes de protection intégrés au système d'exploitation
  • Chargement d'autres fichiers depuis Internet
  • Appels vers des numéros payants
  • Polymorphisme

Technologies et astuces

Une grande majorité d'applications malveillantes pour les ordinateurs personnels exploitent la technologie d'autoreproduction sur les disques amovibles et les dispositifs de stockage USB. Ce mode de reproduction primitif est malheureusement très efficace.

Les cybercriminels ont alors commencé à employer ces astuces dans leurs applications malveillantes. Worm.WinCE.InfoJack est un exemple de ce type d'application. Ce ver se copie sur le disque E. Sur les téléphones intelligents tournant sous Windows Mobile, cette lettre désigne la carte mémoire de l'appareil nomade.

Outre le mode de multiplication, le ver InfoJack possède quelques autres particularités intéressantes. Tout d'abord, l'application malveillante se multiplie dans l'installateur cab où sont stockés divers jeux et programmes légitimes, en plus de la copie du ver. Il est évident que cette technique vise à dissimuler l'activité de l'application malveillante. Ensuite, InfoJack désactive la vérification de la signature des applications (un des mécanismes de protection du système d'exploitation Windows Mobile). Cela signifie que lorsque l'utilisateur tente d'installer une application sans signature (qui pourrait être malveillante), le système d'exploitation n'affiche aucun avertissement sur l'absence de signature du fichier exécutable. Ensuite, lorsque le téléphone intelligent se connecte à Internet, le ver tente de télécharger des modules complémentaires pour sa tâche. InfoJack contient donc une fonction de téléchargement. Et enfin, il reste l'envoi des données personnelles de l'utilisateur à l'auteur de l'application malveillante.

Qu'obtenons-nous au total ? Une application malveillante dotée d'une fonction de reproduction, de téléchargement de fichiers tiers, de désactivation de la protection du système d'exploitation et d'espionnage de l'utilisateur. Sans oublier, une dissimulation de qualité.

Le vers Worm.WinCE.PMCryptic.a peut également servir d'exemple d'utilisation de la copie sur la carte mémoire. Mais il se distingue par un élément tout autre : il s'agit du premier vers polymorphe et virus-compagnon pour les téléphones intelligents ! Heureusement, ce ver chinois n'existe pas à l'état sauvage. Il s'agit simplement "d'une preuve de concept". Toutefois, la simple possibilité de pouvoir créer des applications malveillantes polymorphes pour les téléphones intelligents ne présagent rien de bon.

Divers chevaux de Troie primitifs qui endommagent ou suppriment les données de l'utilisateur sur le téléphone intelligent ont également causé pas mal de problèmes aux propriétaires de ces appareils. Citons, à titre d'exemple, Trojan.SymbOS.Delcon.a. Il s'agit d'un cheval de Troie pour téléphones intelligents tournant sous Symbian et qui ne pèse que 676 octets ! Une fois que l'archive sis a été exécutée, le fichier contacts.pdb, contenant tous les contacts de l'utilisateur, est remplacé par un fichier du même nom provenant de l'archive malveillante. Le fichier contact.pdb malveillant contient le texte suivant :

«If you have installed this programm you are really stupid man :D
Series60 is only for professionals...(c)
by KoS. 2006 ))»

«Si vous avez installé cette application, vous êtes vraiment stupide :D
Series 60 – uniquement pour les professionnels… (c)
KoS. 2006 ))»

Avant l'apparition de not-a-virus:Porn-Dialer.SymbOS.Pornidal.a, qui réalise des appels vers des numéros internationaux payants, ces programmes étaient un problème uniquement pour les ordinateurs.

L'application not-a-virus:Porn-Dialer.SymbOS.Pornidal.a travaille de la manière suivante : lorsque l'utilisateur lance le fichier sis, le texte du contrat de licence apparaît. Celui-ci indique que l'application va réaliser des appels vers des numéros internationaux payants afin d'obtenir un accès intégral à un site au contenu pornographique. Les numéros appelés se trouvent dans différents pays (4 pays d'Europe, 4 pays d'Afrique, 1 pays d'Océanie).

Le danger d'une telle application est qu'elle peut être modifiée par des cybercriminels pour être rendue malveillante et utilisée à but lucratif. Par exemple, l'avertissement sur la composition de numéros payants pourrait être supprimé. Ensuite, la majorité des utilisateurs ne lit pas attentivement le contrat de licence et l'accepte presque toujours automatiquement. Ils ne connaissent donc pas les fonctions de l'application (dans ce cas, les appels vers des numéros payants).

Trojan-SMS : la principale menace

La comparaison du comportement des applications malveillantes de ces 2 dernières années à celui de leurs prédécesseurs indique que leur fonction principale est d'envoyer des SMS vers des numéros payants (à un tarif élevé) à l'insu des utilisateurs des téléphones. Alors que cette fonction n'était présente que dans 2 familles d'applications malveillantes il y a 3 ans, on la retrouve aujourd'hui dans 32 familles ! Près de 35 % des variantes d'applications malveillantes découvertes sur les périphériques nomades envoient des SMS. Cela signifie que Trojan-SMS est le leader des comportements malveillants dans le monde mobile d'aujourd'hui. Les causes à l'origine de cette situation ont été décrites dans le rapport analytique sur le développement des menaces au premier semestre 2008 (Securelist.com).

Fonction

Java 2 Micro Edition est la plate-forme principale de Trojan-SMS. Les chevaux de Troie SMS développés pour J2ME sont dangereux s'agissant d'applications qui peuvent fonctionner sur plusieurs plates-formes. Si le téléphone (et pas nécessairement un téléphone intelligent) est doté d'un moteur Java, alors Trojan-SMS.J2ME peut fonctionner sans problème sur l'appareil.

La majorité absolue des chevaux de Troie J2ME possède la structure suivante : archive jar contenant plusieurs fichiers class, dont l’un d’entre eux réalise l'envoi des SMS vers un numéro payant. Les autres fichiers class visent simplement à dissimuler le programme. L'archive peut contenir quelques images (dans la majorité des cas, des photos érotiques) ainsi qu'un fichier manifest qui, dans certains cas, est également utilisé par le programme malveillant pour envoyer des messages.

Dès son exécution, Trojan-SMS.J2ME tente d'envoyer le SMS avec un texte défini vers le numéro payant. Le moteur java signale dans ce cas à l'utilisateur que l'application tente d'envoyer un SMS. Ce message éveille les soupçons de l'utilisateur et celui-ci bloque l'envoi du message. Certains auteurs de virus, conscients de ce point faible, ont commencé à mieux masquer les actions malveillantes de leur programme. Ils utilisent parfois pour ce faire des moyens très originaux.

Ainsi, Trojan-SMS.J2ME.Swapi.g, une fois qu'il a été lancé par l'utilisateur, propose d'afficher des images pornographiques. Pour ce faire, il faut parvenir à cliquer sur "OUI" avant la fin d'un signal sonore. (L'archive jar contient une photo au format png et une mélodie au format midi). L'utilisateur, souvent trop occupé à cliquer sur le bouton dans le délai imparti, ne se doute pas que chaque pression (dans les temps ou pas) entraîne l'envoi d'un SMS vers un numéro payant et le débit d'une somme prédéterminée de son compte en banque.

Voici le texte d'un site utilisé par les cybercriminels pour offrir leurs services en matière de développement d'applications de ce genre, contre paiement : "Petite application très rentable sous la forme d'un album de photos. Une jolie image apparaît au lancement. Celle-ci laisse la place au texte "Vous devez avoir 18 ans pour regarder la suite. Avez-vous 18 ans ?" Quand l'utilisateur appuie sur "Oui", il envoie un SMS vers un numéro payant..."

Les applications de la famille Trojan-SMS.Python.Flocker, développées pour la plate-forme (Python), sont pratiquement identiques en termes de structure et de tâche réalisée par les chevaux de Troie J2ME. L'archive sis contient un script principal écrit dans le langage Python. Ce script envoie le SMS vers un numéro payant. Elle contient également d'autres fichiers qui servent à dissimuler l'activité principale du programme malveillant.

Il n'existe pratiquement aucune différence entre les diverses versions de Flocker (la seule différence étant le numéro payant vers lequel les SMS sont envoyés). Une telle ressemblance laisse penser que les textes sources du script utilisés dans cette famille d'applications malveillantes étaient accessibles à tous. Cette hypothèse a été confirmée depuis. Un forum proposait en accès libre le texte du script en langage Python dont des fragments étaient identiques à des scripts issus d'applications malveillantes que nous connaissions déjà. Il est intéressant de constater que ce script, téléchargeable, est capable d'infecter d'autres scripts enregistrés sur le téléphone et développés en langage Python.

Diffusion

En Russie, l'utilisation de divers Trojan-SMS a été beaucoup exploitée par les cybercriminels. Le moyen le plus populaire pour diffuser ces programmes malveillants consiste à utiliser divers portails WAP où l'utilisateur est invité à télécharger diverses chansons, images, jeux ou applications pour son téléphone portable. La majorité absolue des chevaux de Troie se dissimule sous les traits d'une application capable d'envoyer des SMS gratuits, qui propose d'utiliser gratuitement une connexion Internet mobile ou sous la forme d'une application à caractère érotique ou pornographique.

On peut se poser la question : pourquoi des sites WAP ? Parce que la Russie figure parmi les 4 premiers pays où l'Internet mobile est le plus utilisé. Et de nombreux utilisateurs visitent ces sites WAP pour télécharger divers types de contenus sur leurs téléphones.

La majorité des sites qui hébergent les programmes malveillants offre aux Internautes la possibilité de stocker leurs fichiers. La simplicité de l'enregistrement, quand il existe, et la gratuité de l'accès dans la majorité des cas permettent aux cybercriminels de diffuser leurs applications primitives sans aucun obstacle. L'auteur du virus doit simplement trouver le nom le plus attrayant pour les victimes potentielles (free_gprs, sms_gratuit, super_porno, etc.), rédiger un commentaire intéressant et attendre qu'un visiteur quelconque décide "d'envoyer gratuitement des SMS" ou de "regarder des images érotiques".

Une fois que son application malveillante est en place, le cybercriminel doit en faire la promotion. C'est ici qu'interviennent les diffusions en masse de messages ICQ ou non sollicités dans divers forums. Et pourquoi ICQ ? Ce service de messagerie instantanée est très répandu en Russie et dans les pays de la CEI. De nombreux utilisateurs qui veulent pouvoir communiquer instantanément utilisent les clients ICQ. Pour les cybercriminels, ces personnes sont des victimes potentielles.

Modèle financier

Les SMS sont, pour l'instant, pratiquement le seul moyen illégal de gagner de l'argent pour les auteurs de virus mobiles. Au début de l'année 2007, lors d'une enquête sur un incident impliquant le premier cheval de Troie SMS pour Symbian (Viver), nous avions analysé en profondeur le modèle financier associé. Dans les grandes lignes, ce modèle reste d'actualité et il est suivi par tous les Trojan-SMS.

Pour obtenir un revenu illégitime, le cybercriminel doit louer un préfixe pour un numéro payant. Nombreux sont les auteurs de virus qui, au lieu de louer eux-mêmes ce préfixe, participent à des programmes de partenariat. Une fois qu'il entre dans un tel partenariat, le cybercriminel peut utiliser non pas le préfixe en entier, mais une combinaison "préfixe+ID du partenaire".

Dans ce cas, l'argent retiré des comptes des propriétaires des périphériques nomades infectés est réparti entre les membres du partenariat.

Escroquerie via SMS

Les applications malveillantes mobiles ne sont pas la seule source de menaces pour les téléphones. Les escroqueries par SMS sont de plus en plus souvent utilisées par les cybercriminels. Cette menace a pris une dimension internationale depuis longtemps.

Ainsi, en 2007 le ministère des télécommunications d'Inde publia une note dans laquelle il évoquait son inquiétude face au développement de l'hameçonnage par SMS et envisageait la possibilité d'interdire aux opérateurs de téléphonie de traiter les SMS envoyés depuis l'étranger via des passerelles Internet. Les messages d'escroquerie diffusés en Inde incitaient l'utilisateur à appeler un numéro donné et à "configurer" certains détails indispensables à la transaction. Si l'utilisateur appelait ce numéro, il tombait sur un répondeur demandant des informations de connexion et d'autres informations confidentielles. Ce répondeur appartenait bien entendu aux cybercriminels.

Ces méthodes sont fréquentes non seulement en Inde mais également dans d'autres pays.

Il convient de noter un élément important : les opérateurs de téléphonie mobile se penchent sur cette problématique. Ils communiquent activement avec leur client et diffusent des informations sur ces arnaques, envoient des exemples de messages d'hameçonnage ainsi que des conseils sur la marche à suivre en cas de réception d'un tel message.

En Russie, les cybercriminels utilisent des méthodes un peu différentes, dont voici quelques exemples :

Version 1 :

Le cybercriminel rédige un SMS qui ressemble plus ou moins à : «Salut ! J'ai des problèmes trop longs à expliquer. Dépose de l'argent sur ce compte ou envoie le au +79xx-xxx-xx-xx. Je te rembourserai un peu plus tard." Remarquez que ces messages sans salutations et signatures peut intriguer n’importe qui.

Evidemment, au moment d'appeler les 2 numéros, l'utilisateur entend un message du style "L'abonnement est temporairement inaccessible". La personne peut alors se demander : "Il est peut-être vraiment arrivé quelque chose à un de mes amis/membres de ma famille/connaissances" et il transfère l'argent vers le téléphone mobile du cybercriminel.

Version 2 :

Une autre méthode repose sur l'envoi de SMS vers un numéro payant. Les textes de messages de ces escroqueries varient. Par exemple : «Salut ! Envoie un SMS avec le texte *** au numéro 3649 et tu recevras un bon de 150 roubles sur ton compte ! Le SMS est gratuit. J'ai vérifié et ça marche ». ou : « Bonjour ! Votre numéro est le numéro gagnant ! Pour recevoir le prix, envoyez un SMS avec le texte *** au numéro 1171. Coût par SMS : 3 roubles ».

Les caractéristiques principales de ces attaques sont les suivantes :

  1. Les cybercriminels utilisent les numéros payants les plus chers.
  2. La majorité des messages propose aux utilisateurs un "bonus" ou un "prix".
  3. Les messages n'ont ni salutations, ni signature.

Il convient de noter un élément important : ces messages sont envoyés non seulement aux utilisateurs de périphériques nomades, mais également aux utilisateurs d'ICQ. Qui plus est, ces messages se retrouvent également souvent dans le courrier électronique ainsi que dans les messages diffusés sur les réseaux sociaux.

Vulnérabilités

Au début de l'année 2009, une nouvelle vulnérabilité dans les téléphones intelligents tournant sous les versions suivantes du système d'exploitation Symbian a été découverte :

  1. S60 2e édition, Feature Pack 2;
  2. S60 2e édition, Feature Pack 3;
  3. S60 3e édition;
  4. S60 3e édition, Feature Pack 1;

Qu'est-ce que cette vulnérabilité et comment est-elle exploitée ? Si le téléphone tournant sous un des systèmes d'exploitation cités ci-dessus reçoit un SMS au format spécial, alors il cessera de recevoir les messages SMS/MMS et ne pourra plus en envoyer également. Ce message malveillant n'apparaît pas dans la liste des messages reçus. Il n'y a non plus aucune trace visible du code d'exploitation. C'est la raison pour laquelle il a été baptisé "Curse of Silence" (malédiction du silence).

Les SMS ne fonctionnent plus mais le reste du téléphone n'est pas affecté et l'utilisateur ne se rend pas tout de suite compte que son téléphone intelligent a un problème. Malheureusement, ni la suppression des messages reçus et envoyés, ni le redémarrage du téléphone ne peuvent résoudre le problème lié à l'envoi/à la réception des SMS. La seule solution est une réinitialisation du téléphone intelligent.

Menaces mobiles dans la nature

Dans les 2 premières parties de la série "Virologie mobile", nous avions présenté des statistiques sur la diffusion des vers Bluetooth et MMS dans divers pays du monde. Cabir et ComWare étaient les menaces mobiles les plus répandues, présentes chacune dans plus de 30 pays. L'incident le plus marquant fut l'infection par une version de Comwar de plus de 115 milles utilisateurs en Espagne au printemps 2007.

Toutefois, l'intérêt marqué par les opérateurs de téléphonie mobile à la problématique des vers et l'introduction de logiciels de protection contre les virus dans le trafic MMS ont permis de stopper la diffusion de ces vers. Parmi les autres éléments ayant contribué à la disparition des épidémies locales, il faut citer l'apparition et la diffusion de logiciels antivirus pour les téléphones, y compris l'installation avant la vente, les nouveaux dispositifs de protection introduits dans les systèmes d'exploitation (exécution uniquement des applications signées) et la disparition progressive des modèles de téléphones sur lesquels Cabir et ComWar pouvaient fonctionner.

Au cours des 3 dernières années, au moins un vers mobile capable de se propager dans divers pays d'Europe a fait son apparition.

Worm.SymbOS.Beselo

Vers la fin du mois de décembre, ce qui ressemblait à une clone de ComWar, la version .y, fit son entrée dans les bases antivirus. Toutefois, son apparition au mois de janvier 2009 dans le trafic mobile de l'un des plus grands opérateurs européens nous amena à nous pencher un peu plus sur ce nouvel exemplaire.

L'analyse réalisée par la société F-Secure a montré qu'il s'agissait en réalité d'une nouvelle famille qui n'avait aucun rapport avec ComWar créé il y a 3 ans en Russie.

Le principe de fonctionnement du ver, qui a reçu la classification Worm.SymbOS.Beselo.a (la variante Beselo.b fut identifiée un peu plus tard), est similaire à celui de ComWar et est classique pour les vers de ce type. La propagation a lieu par l'intermédiaire de la diffusion de fichiers SIS infectés via MMS ou Bluetooth. Une fois ouvert sur l'appareil attaqué, le ver se propage aux contacts du carnet d'adresses du téléphone intelligent ainsi qu'à tous les périphériques accessibles dans le rayon d'action Bluetooth.

Heureusement, la propagation de Beselo put être stoppée assez rapidement et depuis, plus aucun ver mobile n'a été trouvé "à l'état sauvage" en Europe.

Worm.WinCE.InfoJack

Au début de l'année 2008, nous avons commencé à recevoir des messages sur des cas d'infection par une application inconnue tournant sous Windows Mobile. Il s'agissait du cheval de Troie InfoJack.a dont nous avons déjà parlé ci-dessus.

La propagation de cette application malveillante a eu lieu depuis un site chinois proposant divers logiciels (licites). Le cheval de Troie a été ajouté à la distribution de logiciels mobiles tels que le client pour Google Maps ou des jeux. Le propriétaire du site, source de la diffusion du cheval de Troie, a déclaré qu'il n'avait aucune intention criminelle et qu'il récoltait des informations sur ses visiteurs uniquement dans le but d'améliorer le service et d'analyser le marché des applications pour appareils nomades.

Après quelques jours d'activité, le site fut mis hors ligne, probablement à la suite d'une enquête menée par la police chinoise.

Jusqu'à présent, la cible principale des pirates informatiques chinois a été la communauté des utilisateurs de jeux en ligne sur les ordinateurs personnels. Toutefois, InfoJack démontre l'existence en Chine de la possibilité d'organiser des épidémies de masse impliquant des virus pour appareils nomades.

La Chine fut le premier pays victime du cheval de Troie pour Windows Mobile. Il se peut que l'auteur d'InfoJack n’ait en effet aucune intention criminelle mais, il a ouvert la voie...

Worm.SymbOS.Yxe

Un an plus tard, en janvier 2009, nous avons découvert une nouvelle application malveillante pour les téléphones mobiles tournant sous Symbian. Quelle nouveauté pouvait-il y avoir ? Ce ver s'avéra particulièrement remarquable.

Worm.SymbOS.Yxe est la première nouvelle famille de vers Symbian depuis longtemps. Elle se distingue de ses prédécesseurs par le mode de diffusion. Non pas via Bluetooth, non pas via MMS mais via des messages SMS !

Worm.SymbOS.Yxe envoyait des messages SMS (au contenu assez frivole) avec un lien vers lui-même http://www*****.com/game à tous les contacts du carnet d'adresses du téléphone infecté. Le lien menait vers un programme d'installation Symbian traditionnel contenant 2 fichiers : un fichier exécutable exe et un fichier auxiliaire rsc. Si l'utilisateur acceptait d'installer l'application, le ver commençait après un certain temps à diffuser des SMS aux membres du carnet d'adresses du téléphone infecté, créant ainsi un trafic de SMS malveillants.

Selon toute vraisemblance, c'est bel et bien le ver Worm.SymbOS.Yxe qui fut à l'origine de nombreuses publications dans les médias électroniques chinois et l'objet de nombreuses discussions dans les forums et de plaintes relatives à des SMS incompréhensibles, etc. Ces textes évoquaient des SMS au contenu pornographique contenant un lien incompréhensible, la diffusion non autorisée de SMS aux contacts et la perte d'argent sur le compte mobile suite à l'envoi de ces SMS.

Ce ver se distingua par une autre caractéristique également. Il avait été développé pour les téléphones intelligents tournant sous Symbian S60 3e édition et signé par un certificat légal. Cela signifie que le ver peut s'installer sans problème sur n'importe quel téléphone intelligent tournant sous Symbian S60 3e édition.

Informations sur le certificat :

Il est intéressant de voir que le certificat a été octroyé pour 10 ans, à en croire la signature. Nous avons pu déterminer que l'application malveillante a suivi la procédure de signature automatique.

Trojan-SMS.Python.Flocker

Le mois de janvier 2009 a été très fertile en événements liés aux applications malveillantes pour périphériques nomades. Outre le ver Yxe cité ci-dessus et le code d'exploitation Curse of Silence pour les téléphones intelligents tournant sous Symbian, nous avons découvert plusieurs nouvelles versions de Trojan-SMS.Python.Flocker (ab-af).


Une des modifications de Trojan-SMS.Python.Flocker

Quelle est la particularité des 6 nouvelles modifications de cette famille ? Jusqu'à leur apparition, toutes les applications malveillantes que nous avions recensées avec le comportement Trojan-SMS avaient été créées sur le territoire de l'ex-URSS et les messages étaient envoyés vers des numéros payants d'opérateurs de téléphonie mobile russes.

Toutes les nouvelles modifications de Flocker envoyaient un SMS vers le numéro 151 qui n'est pas enregistré en Russie. De plus, nous n'avions jamais rencontré des numéros à 3 chiffres. Le texte du message avait également quelques particularités : TP <12 chiffres> <4 ou 5 chiffres>.

A quoi faisons-nous face ? Plusieurs applications malveillantes qui envoient des messages SMS vers le même numéro avec des textes semblables. On peut se poser l'éternelle question : où est l'argent ?

Longtemps avant la découverte des nouvelles versions de Flocker, un opérateur de téléphonie mobile en Indonésie avait publié un communiqué de presse signalant que les propriétaires d'un type défini de carte SIM pouvaient transférer de l'argent depuis leur compte mobile (solde) vers le compte d'un parent/ami/connaissance possédant le même type de carte SIM. Il suffisait pour cela d'envoyer un SMS au numéro 151 avec le texte suivant : TP

Cette possibilité fut exploitée par les escrocs et un cheval de Troie, d'origine russe, fut modifié par quelqu'un afin de pouvoir fonctionner avec les opérateurs de téléphonie mobile d'Indonésie et diffusé dans ce pays.

Tous les cas repris ci-dessus indiquent que les menaces pour les périphériques nomades continuent à se développer dans le monde. On note toutefois une modification de taille : au lieu d'épidémies internationales, nous observons des hausses locales d'infections visant les habitants d'un pays ou d'une région en particulier. Cela reflète parfaitement la situation observée chez les virus informatiques.

Les régions où la problématique des virus pour périphériques nomades est la plus marquée sont la Russie, la Chine, l'Indonésie et les pays d'Europe de l'Ouest.

Conclusion

La popularité des téléphones intelligents, leur utilisation de plus en plus fréquente à des fins professionnelles (accès à Internet, consultations de comptes bancaires, achats de marchandises et de services, etc.) s'accompagnent d'une augmentation du nombre de cybercriminels qui souhaiteraient tirer un revenu illicite.

Les applications malveillantes d'aujourd'hui peuvent exécuter une multitude de tâches : enregistrer et envoyer le contenu du carnet d'adresses et d'autres données, bloquer complètement l'appareil, octroyer un accès à distance aux cybercriminels, envoyer des SMS et des MMS, etc. Dans les entreprises, les téléphones intelligents sont utilisés par les employés qui travaillent à la maison ou qui sont en déplacement. Les problèmes causés par la simple mise hors-service d'un téléphone (suite à une attaque par une application malveillante) sont déjà graves. Et si le cybercriminel parvient à accéder au réseau ou à la messagerie, c’est la sécurité de l’entreprise toute entière qui est compromise.

S'agissant de l'iPhone (4 % du marché mondial des téléphones mobiles et 20 % aux Etats-Unis) et d'Android, les possibilités d'attaques malveillantes sont très diverses. Pour l'iPhone, l'infection est la plus probable uniquement lorsque l'utilisateur a craqué son périphérique et installé des applications en provenance de sources non officielles. Android (probablement) n'aura pas un lien aussi rigide avec des sources officielles de fichiers et les utilisateurs de téléphones "légitimes" pourront installer tout ce qu'ils veulent.

Quoi qu'il en soit, il est encore trop tôt pour évoquer le panorama des applications malveillantes pour l'iPhone et Android. Nous estimons que le danger pour ces téléphones viendra principalement des vulnérabilités dans les logiciels utilisés et de la possibilité pour un cybercriminel de pouvoir accéder au téléphone via cette vulnérabilité.

La concurrence qui s'annonce entre les netbooks et les smartbooks est un autre élément important. La différence entre les 2 est que le smartbook repose sur une toute autre architecture, semblable à celle des téléphones mobiles. D'après les estimations des spécialistes, 98 % des processeurs pour téléphones mobiles, y compris l'iPhone d'Apple, reposent sur l'architecture ARM.

Pour ses créateurs, le smartbook réunit les meilleurs traits du netbook et du téléphone intelligent : un clavier complet, un écran relativement grand, un poids léger et une grande autonomie de la batterie. Et le principal avantage de la plateforme est sa prise en charge par les réseaux mobiles. Les smartbooks possèdent des modems dans les processeurs. Cette caractéristique garantit une intégration simple et transparente des services de réseau.

D'un autre côté, Intel tente de créer un marché des périphériques mobiles reposant sur son propre processeur Atom. A la fin de cette année, les processeurs Atom seront proposés sous la forme de système sur puce (SoC). Dans la pratique, cela signifie que, l'architecture microprocesseur compatible x86 bien connue des programmeurs, pourrait être introduite dans presque tout : processeurs pour automobiles, réfrigérateurs et fours micro-onde, aspirateurs, téléviseurs, distributeurs de café, etc.

Tous ces éléments et les batailles technologiques qui vont suivre pourraient radicalement changer la situation. Les smartbooks pourraient devenir une cible plus intéressante pour les attaques de virus que les téléphones intelligents. Parallèlement, l'introduction des processeurs x86 dans des articles électroménagers pourrait élargir le domaine des attaques jusqu'à des ampleurs jamais vues aujourd’hui.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com