30.03.2012   |   comment

Denis Maslenikov

• Introduction
• Statistiques générales
  • Nombre de familles et de leurs modifications
  • Répartition par comportement
  • Répartition par plateforme
• Android dans le collimateur
  • Objectif : vol d'argent et d'informations
  • Objectif : contrôle du périphériques
  • Programme malveillant sur Android Market
• Chevaux de Troie SMS
• L'homme du milieu mobile
• QR Code : nouveau mode de diffusion des programmes malveillants
• Hacktivisme mobile : les balbutiements
• Conclusion

Introduction

Près d'un an s'est écoulé depuis la publication de la quatrième partie du rapport « Virologie mobile ». En guise de conclusion, nous avions formulé quelques pronostics sur le développement des menaces pour les plateformes mobiles en 2011. Voyons si ces pronostics se sont confirmés.

En bref, les hypothèses principales que nous avancions étaient les suivantes :

1. Domination des SMS chevaux de Troie
2. Augmentation des menaces pour Android.
3. Augmentation du nombre de vulnérabilités détectées dans diverses plateformes pour appareils nomades et, éventuellement, du nombre d'attaques réalisées à l'aide de celles-ci.
4. Augmentation du nombre de logiciels espion.

Un an plus tard, en ce début de l'année 2012, nous pouvons affirmer que nos pronostics se sont malheureusement tous vérifiés.

1. Les SMS chevaux de Troie ont connu un développement actif.
2. Le nombre de menaces pour Android a augmenté, et de manière sensible.
3. Les individus malintentionnés utilisent activement certaines vulnérabilités.
4. Les logiciels espions sont également une source de nombreux problèmes pour les utilisateurs.

Il faut également noter que l'hégémonie des programmes malveillants pour la plateforme J2ME s'est terminée, de manière assez abrupte. Ceci s'explique en grande partie par l'intérêt que les auteurs de virus ont porté à la plateforme Android. En raison de la popularité de cette plateforme, les auteurs de virus ont été confrontés à toute une série de nouveaux problèmes que nous allons aborder ci- après.

Dans l'ensemble, en 2011 les programmes malveillants ont atteint un nouveau seuil de qualité : ils sont devenus plus complexes. Toutefois, nous retrouvons toujours parmi les programmes malveillants des exemplaires russes et chinois moins complexes et il est peu probable que la situation change à court terme.

La cinquième partie du rapport « Virologie mobile » est consacrée à ces événements.

Statistiques générales

Comme de coutume, nous allons commencer par un survol des statistiques.

Nombre de familles et de leurs modifications

Pour rappel, à la fin de l'année 2010, notre collection comptait 153 familles et plus de 1 000 modifications de programmes malveillants pour plateforme mobile. Et en 2010, le nombre de nouveaux programmes malveillants pour plateforme mobile détectés avait augmenté de 65,12 % par rapport à 2009.

Le nombre de modifications et de familles de programmes malveillants pour plateforme mobile dans la collection de Kaspersky Lab au premier janvier 2012 est présenté ci-après :

Quelle aura été la croissance du nombre de menaces en 2011 ? Sur l'ensemble de 2011, nous avons enregistré 5 255 nouvelles modifications de programmes malveillants pour plateforme mobile et 178 nouvelles familles ! Le nombre total de nouvelles menaces en un an a été multiplié par 6,4. Au cours du mois de décembre 2011 uniquement, nous avons ajouté à nos bases antivirus plus de programmes malveillants pour appareils mobiles qu'au cours de la période allant de 2004 à 2010.

 
Nombre de nouvelles modifications de programmes malveillants pour appareils mobiles par mois 2004 – 2011

Le schéma montre clairement que le nombre de nouvelles menaces a sensiblement augmenté au cours du deuxième semestre 2011. Nous n'avions jamais rien vu de pareil dans l'histoire des programmes malveillants pour appareils mobiles.

Répartition par comportement

Nous n'avions jamais présenté de statistiques sur la répartition des programmes malveillants pour plateforme mobile par comportement. Toutefois, les données que nous avons obtenues en 2011 sont assez curieuses.

 
Répartition par comportement des programmes malveillants pour plateforme mobile en 2011

Comme nous l'avons déjà dit, l'année 2011 aura été marquée non seulement par l'augmentation du nombre de menaces pour plateformes mobiles, mais également par des modifications au niveau de la qualité de ces programmes malveillants. Bien que parmi les programmes détectés les chevaux de Troie SMS primitifs occupent toujours une position dominante (ils permettent aux individus malintentionnés de gagner de l'argent sans trop d'effort), leur part est en recul et est passée de 44,2 % en 2010 à 36,6 % en 2011.

Les portes dérobées occupent la deuxième position. En 2010, les programmes malveillants de cette catégorie n'étaient pratiquement pas utilisés par les individus malintentionnés. L'intérêt des auteurs de virus pour les portes dérobées est lié à l'intérêt croissant porté au système d'exploitation Android. La grande majorité des portes dérobées détectées visent les smartphones sous Android. Bien souvent, la porte dérobée est accompagnée d'un kit de codes d'exploitation root et si l'infection réussit, l'individu malintentionné obtient le contrôle total de l'appareil mobile.

En troisième position, nous retrouvons les logiciels espions qui volent les données personnelles de l'utilisateur et/ou les données relatives à l'appareil mobile infecté. Notre pronostic sur le développement de menaces qui tentent de tout voler s'est vérifié également pour les plateformes mobiles : en 2011, les auteurs de virus ont été très actifs dans la création et la diffusion de programmes malveillants de ce genre.

Répartition par plateforme

Si l'on évoque la répartition des programmes malveillants pour plateforme mobile par plateforme, comme nous l'avons déjà dit, J2ME n'est plus l'environnement principal dans lequel les programmes malveillant vivent.

 
Répartition des modifications de programmes malveillants par plateforme en 2011

La raison du renversement de la plateforme J2ME est évidente : l'augmentation sensible de la popularité des appareils mobiles tournant sous Android. Une situation identique avait déjà été observée à l'époque avec Symbian. De 2004 à 2006, Symbian était le leader incontesté parmi les plateformes mobiles et sa popularité était grande auprès des auteurs de virus. Plus tard, Symbian a été détrôné par J2ME car les programmes malveillants pour cette plateforme pouvaient attaquer un plus grand nombre d'appareils mobiles. Aujourd'hui, Android est le système d'exploitation pour appareil mobile le plus populaire au monde, ce qui se manifeste par l'apparition et le développement de nouvelles menaces.Selon les différentes estimations, le système d’exploitation Android est installé sur 40-50% des smartphones.

Une hausse marquée du nombre de nouvelles menaces pour Android a été enregistrée au cours du deuxième semestre 2011. Vers le milieu de l'été environ, le nombre de programmes malveillants pour Android a dépassé le nombre de programmes malveillants pour Symbian et à l'automne, ce nombre était supérieur à celui des menaces pour la plateforme J2ME. Vers la fin de l'année, Android a renforcé sa position de leader et il est fort peu probable que cette situation change à court terme.

Android dans le collimateur

La croissance explosive du nombre de programmes malveillants pour toutes les plateformes mobiles est due en grande partie à l'augmentation du nombre de programmes malveillants pour Android.

Nombre de nouvelles modifications de tous les programmes malveillants et des programmes pour Android par mois en 2011

Le graphique ci-dessus montre qu'au cours du deuxième semestre de l'année, lorsque le nombre de nouveaux programmes malveillants pour plateforme mobile a commencé à augmenter rapidement, la majorité des programmes malveillants que nous découvrions chaque mois étaient des programmes pour Android. En chiffres absolus, la situation est la suivante :

Tous les programmes malveillants pour Android que nous avons détectés peuvent être répartis en deux groupes :

• Programmes malveillants développés pour voler de l'argent ou des informations;
• Programmes malveillants développés pour prendre les commandes de l'appareil.

 
Répartition des programmes malveillants selon le comportement pour Android

Objectif : vol d'argent et d'informations

Déjà en octobre 2011, un tiers des programmes malveillants pour Android visait d'une manière ou d'une autre le vol de données personnelles sur l'appareil de l'utilisateur (contacts, journaux des appels, SMS, coordonnées GPS, photos, etc.).

Le vol d'informations est une spécialité des cybercriminels chinois. En général, ce qui les intéresse surtout, ce sont les informations relatives à l'appareil (IMEI et IMSI, pays, numéro de téléphone) et non pas tellement les informations personnelles ou confidentielles du propriétaire du téléphone.

Le cheval de Troie Nickspy (Trojan-Spy.AndroidOS.Nickspy) est vraisemblablement une exception de la production chinoise. Ce programme malveillant est capable d'enregistrer toutes les conversations du propriétaire de l'appareil infecté dans des fichiers audio et de charger ces fichiers sur le serveur distant des individus malintentionnés. Une des modifications de Nickspy, qui se dissimule sous les traits d'une application du réseau social Google+, est capable de recevoir en mode caché des appels en provenance du numéro de téléphone des individus malintentionnés, enregistré dans un fichier de configuration du programme malveillant. Quand le téléphone infecté répond à ces appels à l'insu du propriétaire du téléphone, les individus malintentionnés ont la possibilité d'entendre tout ce qui se dit à proximité de l'appareil infecté, dont les conversations du propriétaire. Ce cheval de Troie s'intéresse également au texte des SMS, aux informations relatives aux appels et aux coordonnées GPS. Ces données sont également envoyées au serveur distant de l'individu malintentionné.

Alors que Nickspy a des origines chinoises, Antammi (Trojan-Spy.AndroidOS.Antammi) est la création d'auteur de virus russes. La couverture de l'activité malveillante du cheval de Troie Antammi était la fonction légitime d'une application de téléchargement de sonnerie. Ce cheval de Troie peut voler pratiquement toutes les données personnelles de l'utilisateur : contacts, archives SMS, coordonnées GPS, photos, etc. Ensuite, il envoie par courrier électronique aux cybercriminels le journal de son activité et il charge les données volées sur leur serveur.

Nous aimerions évoquer dans ce chapitre une histoire qui a fait beaucoup de bruit. Au début du mois de novembre, le chercheur et blogueur Trevor Eckhart, sur la base de documents rendus publics, a publié un message signalant que certains opérateurs de téléphonie mobile américains ainsi que certains fabricants de périphériques nomades installent par défaut sur certains périphériques nomades vendus aux Etats-Unis une application développée par la société CarrierIQ. Cette application collecte diverses informations sur le smartphone et sur son fonctionnement. Elle est également capable d'enregistrer des données telles que les touches enfoncées par l'utilisateur, les URL visitées, etc. En d'autres termes, l'application de CarrierIQ collecte un certain nombre de données personnelles sur le propriétaire du smartphone.

Les smartphones tournant sous Android, et en particulier HTC, ont été au centre de l'attention des chercheurs et des médias. On a même indiqué que l'application de CarrierIQ fonctionnait sur les smartphones Blackberry et Nokia, mais ces deux sociétés ont déclaré qu'elles n'avaient jamais préinstallé cette application sur leurs appareils. S'agissant d'Apple, elle a déclaré le contraire. Le logiciel de CarrierIQ était présinstallé sur les appareils vendus par Apple, mais depuis la sortie d'iOS 5 il n'est plus utilisé sur aucun appareil, à l'exception de l'iPhone 4. En novembre 2011, l'application de CarrierIQ était toujours installée sur les iPhone 4, même sous iOS 5, mais selon les déclarations d'Apple, elle allait être supprimée lors des prochaines mises à jour.

Après que cette histoire a fait beaucoup parler d'elle dans la presse, CarrierIQ a diffusé un communiqué. Ce communiqué expliquait pourquoi l'application collectait non seulement les informations relatives à l'appareil et à son fonctionnement (batterie et charge, connexion à un réseau Wi-Fi), mais également les informations relatives aux touches enfoncées et aux URL visitées. D'après CarrierIQ, tout cela permet uniquement d'envoyer des informations de diagnostic à l'opérateur de téléphonie mobile. En d'autres termes, cette application envoie des données qui indiquent, par exemple, que l'utilisateur ne peut pas accéder à Facebook, mais ne transmet rien du contenu consulté. La société a également déclaré que les données sont envoyées directement aux opérateurs de téléphonie mobile qui sont les commanditaires.

Une seule question reste à poser : pourquoi l'utilisateur n'a-t-il aucun moyen de refuser cette application et « l'aide pour la collecte d'informations de diagnostic » ?

Aujourd'hui, la problématique de la protection des données personnelles est plus actuelle que jamais. Et de tels événements ne font que confirmer l'intérêt pour ce sujet. Ne va-t-on pas voir apparaître une application semblable installée par d'autres opérateurs de téléphonie mobile ou fabricants de téléphones ?

S'agissant des programmes spécialisés dans le vol d'argent, on retrouve toujours à l'avant-garde les auteurs de virus russes qui ont commencé à produire à grande échelle des chevaux de Troie SMS pour Android. De nouveaux partenariats qui permettent de générer automatiquement divers chevaux de Troie SMS et qui proposent une sélection d'outils et de moyens pour leur diffusion (magasins d'applications fictifs, QR Code, script, domaine réservé, etc.) ont fait leur apparition. Nous allons revenir sur cette question plus tard.

Objectif : contrôle du périphériques

Les programmes malveillants dont l'objectif est de prendre les commandes de l'appareil ont été très répandus en 2011 A l'heure actuelle, parmi les programmes malveillants pour Android, les portes dérobées suivent de près les chevaux de Troie espion.

Les auteurs de virus chinois se sont lancés dans la production industrielle de portes dérobées. Il faut signaler que la majorité de ces portes dérobées contient des codes d'exploitation dont l'unique tâche est d'obtenir les privilèges root de l'appareil (c.-à-d., obtenir les privilèges de superutilisateur ou obtenir les privilèges maximum sur cet appareil). Ainsi, l'individu malintentionné obtient l'accès à distance complet à l'ensemble du smartphone. En d'autres termes, après l'infection et l'exécution réussie du code d'exploitation, l'individu malintentionné peut réaliser à distance pratiquement n'importe quelle opération depuis le smartphone.

Ce sont précisément les codes d'exploitation root qui ont jeté les bases de l'utilisation massive des vulnérabilités dans les systèmes d'exploitation pour appareils mobiles. Ils sont extrêmement populaires chez les auteurs de virus chinois. La majorité des codes d'exploitation utilisés sont connus depuis longtemps et sont prévus pour des versions déjà anciennes d'Android. Mais dans la mesure où une grande partie des utilisateurs actualise rarement le système d'exploitation, le nombre de victimes potentiels demeure élevé.

Le bot IRC Backdoor.Linux.Foncy, détecté au début 2012, est peut-être l'exemple le plus frappant (et le plus sérieux au niveau de la fonction) de porte dérobée. Cette porte dérobée se trouvait dans un dropper APK (Trojan-Dropper.AndroidOS.Foncy) qui contenait également un code d'exploitation (Exploit.Linux.Lotoor.ac) pour obtenir l'autorisation root sur le smartphone et un cheval de Troie SMS (Trojan-SMS.AndroidOS.Foncy).

Le dropper crée un répertoire (/data/data/com.android.bot/files) dans lequel il copie le code d'exploitation, le bot IRC et le cheval de Troie, puis il exécute le code d'exploitation root. Si l'exécution du code d'exploitation réussit, celui-ci lance à son tour la porte dérobée qui commence par installer dans le système le cheval de Troie SMS Foncy (nous en parlons dans le chapitre consacré aux chevaux de Troie SMS). Il faut préciser que la porte dérobée doit installer et lancer le fichier APK du cheval de Troie SMS car avant cela, le dropper se contente de copier le cheval de Troie dans le système:

 
Procédure d'installation du cheval de Troie SMS Trojan-SMS.AndroidOS.Foncy

La porte dérobée, après le lancement du cheval de Troie SMS, tente d'établir une connexion à un serveur IRC distant sur le canal #andros avec des pseudos aléatoires. Ensuite, il peut recevoir n'importe quelle instruction shell depuis ce serveur et l'exécuter sur l'appareil infecté.

Programme malveillant sur Android Market

Un autre casse-tête en 2011 aura été la présence de programmes malveillants dans la boutique officielle d'applications pour Android. Le premier cas de ce genre fut enregistré au début du mois de mars 2011 et par la suite les programmes malveillants sont apparus régulièrement sur Android Market. La popularité d'Android, la simplicité de la création d'applications, la possibilité de les diffuser via une source officielle et l'inefficacité du contrôle des nouvelles applications afin d'écarter tout programme malveillant ont joué une mauvaise blague à Google. Les individus malintentionnés n'ont pas hésité à exploiter tous ces facteurs et nous nous sommes retrouvés face à une situation où des programmes malveillants sont diffusés via Android Market non pas pendant quelques heures ou quelques jours, mais pendant des semaines, voire des mois, ce qui se traduit par un nombre élevé d'infections.

Chevaux de Troie SMS

En 2011, le développement du comportement le plus populaire parmi les programmes malveillants pour plateforme mobile a subi quelques modifications. Tout d'abord, les chevaux de Troie SMS ne sont plus un problème que pour les seuls utilisateurs russophones. Deuxièmement, les attaques contre les utilisateurs russophones sont devenues bien plus importantes. Troisièmement, la plateforme J2ME n'est plus l'environnement principal où vivent les chevaux de Troie SMS.

Au cours du premier semestre 2011, les chevaux de Troie SMS ont continué à dominer les autres comportements de programmes malveillants pour plateformes mobiles. Ce n'est que vers la fin de l'année que le fossé a commencé à se combler, principalement à cause de l'activité des auteurs de virus chinois qui créaient des portes dérobées et des chevaux de Troie espion.

Au début de l'année 2011, de nombreux utilisateurs de périphériques mobiles recevaient régulièrement des SMS indiquant qu'ils avaient reçu un cadeau MMS d'une certaine Katy. Comme il fallait s'y attendre, il n'y avait aucun « cadeau » à récupérer en cliquant sur le lien du message. Rien d'étonnant non plus à ce que le fichier JAR accessible via ce lien soit en réalité un cheval de Troie SMS. Dans presque tous les cas de diffusion que nous avons détectés, les programmes malveillants appartenaient à la famille Trojan-SMS.J2ME.Smmer. Ces chevaux de Troie ont une fonction assez primitive, mais si l'on tient compte de l'ampleur des diffusions et des fréquences de celles-ci, cela n'a pas empêché les individus malintentionnés d'infecter un nombre considérable d'appareils mobiles. L'ampleur de ces diffusions était bien supérieure à celles des diffusions antérieures. Les téléphones mobiles de dizaines de milliers d'utilisateurs étaient exposés régulièrement à un risque d'infection

En 2008, 2009 et 2010, J2ME était la principale plateforme pour laquelle des chevaux de Troie SMS étaient développés. Un changement est intervenu en 2011 et désormais, ce sont les chevaux de Troie pour Android qui sont les plus populaires. Dans l'ensemble, ils ne se différencient pratiquement pas de leurs confrères pour J2ME. Les modes de dissimulation sont identiques : il s'agit principalement d'imitations d'applications légitimes comme Opera ou JIMM. Et ils se diffusent également comme les chevaux de Troie pour J2ME, à savoir à l'aide de partenariats. Bien souvent, un même partenariat se spécialise à la foi dans les programmes malveillants pour J2ME et dans les programmes malveillants pour Android.

Avant 2011, les chevaux de Troie SMS visaient principalement les utilisateurs en Russie, en Ukraine et au Kazakhstan. Mais en 2011, les auteurs de virus chinois ont commencé à créer et diffuser activement des chevaux de Troie SMS. Toutefois, les programmes malveillants avec seulement une fonction de cheval de Troie SMS ne sont pas très populaire auprès des auteurs de virus chinois. La fonction d'envoi de SMS vers des numéros payants n'est qu'un aspect de la diversité des comportements des programmes malveillants originaires de Chine.

Nous avons également enregistré les premières attaques contre des utilisateurs en Europe et en Amérique du Nord. Un des pionniers fut le cheval de Troie GGTracker qui visait des utilisateurs aux Etats-Unis. L'application se dissimulait sous les traits d'un utilitaire de réduction de la consommation de la batterie du smartphone alors qu'en réalité elle abonnait l'utilisateur à un service payant via des SMS.

Un autre exemple marquant est la famille de chevaux de Troie Foncy. Malgré l'aspect primitif de la fonction, Foncy est devenu le premier programme malveillant à s'en prendre aux utilisateurs d'Europe de l'Ouest et du Canada. Et des modifications ultérieures de ce programme attaquaient non seulement des utilisateurs de pays d'Europe de l'Ouest et du Canada, mais également des Etats-Unis, de Sierra Leone et du Maroc. Certains indices nous font penser que les auteurs de ce programme malveillant ne se trouvent pas en Russie.

Le cheval de Troie Foncy possède deux caractéristiques. Tout d'abord, il est international. Le programme malveillant est capable de déterminer le pays de la carte SIM de l'appareil infecté et sur la base de cette information, il change le préfixe et le numéro de téléphone pour l'envoi du SMS.

Liste partielle des numéros surtaxés de différents pays dans le corps du cheval de Troie Foncy

Ensuite, le cheval de Troie envoie aux individus malintentionnés un rapport sur le travail réalisé. En général, le cheval de Troie envoie, à l'insu de l'utilisateur, un SMS à un numéro surtaxé pour le paiement d'un service ou l'autre. Il peut s'agir de l'accès au contenu d'un site ou à une archive, l'abonnement aux messages diffusés d'un site, etc. Le téléphone reçoit le SMS de confirmation du paiement que l'application dissimule. Foncy transmet le texte de ces confirmations et le numéro surtaxé d'origine à ses propriétaires. Au début ces informations étaient tout simplement transmises par SMS au numéro des individus malintentionnés. Les modifications suivantes du cheval de Troie les chargeaient directement sur le serveur de ces mêmes individus.

 
Procédure de transfert de certains SMS reçus

Il est évident que les individus malintentionnés obtiennent ainsi des informations sur le nombre de SMS payants envoyés et sur le nombre d'appareils infectés par Foncy.

L'homme du milieu mobile

La première attaque de l'homme du milieu contre des appareils mobiles a été enregistrée en 2010. Toutefois, c'est en 2011 que ce type d'attaque s'est surtout développé avec l'apparition des programmes malveillants ZitMo et SpitMo sous différentes plateformes (ZitMo pour Windows Mobile et ZitMo et SpitMo pour Android) et les individus malintentionnés ont progressivement perfectionné les fonctions des programmes malveillants.

Les chevaux de Troie ZitMo (ZeuS-in-the-Mobile) et SpitMo (SpyEye-in-the-Mobile), qui fonctionnent en binôme avec les versions traditionnelles de ZeuS et SpyEye, figurent parmi les programmes malveillants les plus complexes détectés ces derniers temps. Voici leurs particularités :

• Travail en binôme. Seuls, ZitMo ou SpitMo ne sont que des logiciels espions traditionnels capables de transmettre des SMS. Toutefois, leur association à la version « classique » de ZeuS ou de SpyEye a permis aux individus malintentionnés de déjouer la protection des transactions bancaires qui repose sur l'utilisation d'un code mTAN.
• Spécialisation pointue des chevaux de Troie : transfert au numéro des individus malintentionnés ou sur leur serveur des messages entrants contenant les codes mTAN qui sont ensuite utilisés par les cybercriminels pour confirmer les transactions financières réalisées au départ de comptes en banque compromis.
• Multiplateforme. Il existe des versions de ZitMo pour Symbian, Windows Mobile, Blackberry et Android tandis que SpitMo peut tourner sous Symbian et Android.

Parmi les événements les plus importants, il convient de signaler la confirmation de l'existence de ZitMo sous Blackberry et l'apparition d'une version de ZitMo et de SpitMo pour Android. Cette apparition est intéressante car cette plateforme mobile populaire avait été ignorée pendant assez longtemps par les auteurs de ces programmes malveillants.

A l'avenir, les attaques à l'aide de ZitMo, de SpitMo ou de programmes malveillants similaires visant le vol des codes mTan (ou d'autres informations secrètes transmises via SMS) vont se poursuivre. Mais il est probable que ces attaques seront ciblées et ne porteront que sur un nombre restreint de victimes.

QR Code : nouveau mode de diffusion des programmes malveillants

Les QR code sont de plus en plus populaires et on les retrouve de plus en plus souvent dans diverses publicités, sur des badges, etc. pour offrir un accès rapide et simple à certaines informations. C'est pourquoi les premiers QR Code malveillants ne se sont pas fait attendre.

Aujourd'hui, les utilisateurs de smartphone recherchent souvent des applications pour leur appareil à l'aide d'un ordinateur classique. Dans ce cas, pour pouvoir télécharger l'application sur le smartphone, l'utilisateur doit saisir manuellement l'URL dans le navigateur de son téléphone. Ce n'est pas très pratique et c'est pourquoi on retrouve des QR Code sur les pages des sites qui proposent des applications pour smartphone.

De nombreux programmes malveillants pour appareils mobile (surtout les chevaux de Troie SMS) se propagent via des sites où toutes les applications sont malveillantes. Outre des liens directs vers les programmes malveillants, les cybercriminels ont commencé à utiliser sur ces sites des QR Codes malveillants dans lesquels le lien vers l'application malveillante est encodé.

Ce sont des cybercriminels russes qui ont été les premiers à tester cette technologique : les QR codes malveillants dissimulaient des chevaux de Troie pour Android et J2ME.

Exemple de QR Code malveillant
("Just enter the following link into your phone’s browser»)

Aujourd'hui, les attaques réalisées à l'aide de QR Code ne sont heureusement pas généralisées. Toutefois, au fur et à mesure que cette technologie va être adoptée par les utilisateurs, elle va devenir populaire auprès des individus malintentionnés. De plus, les QR Code malveillants sont utilisés non pas par un seul créateur de virus (mais par un groupe de créateurs) et ils sont diffusés à l'aide des tristement célèbres partenariats, ce qui va contribuer rapidement au renforcement de leur popularité chez les cybercriminels.

Hacktivisme mobile : les balbutiements

Tout au long de l'année 2011, nous avons observé une véritable explosion de l'activité des individus malintentionnés motivés non pas par le gain, mais par la volonté de protester contre les hommes politiques, les organismes publics, les grandes sociétés et l'Etat, voire de se venger de ceux-ci. Des pirates aux motivations politiques se sont introduits dans les systèmes les plus protégés, ils ont diffusé les données de centaines de milliers de personnes à travers le monde et même les systèmes à la pointe des technologies n'ont pas échappé aux attaques par déni de service distribué organisées à l'aide des réseaux de zombies des hacktivistes.

Les programmes malveillants dont l'action porte un certain caractère politique appartiennent à cette catégorie. De tels programmes ont fait leur apparition pour les systèmes d'exploitation mobiles.

La menace que nous avons détectée sous le nom Trojan-SMS.AndroidOS.Arspam vise les utilisateurs des pays arabes. Cette application de navigation de type cheval de Troie a été diffusée sur les forums de langue arabe. La principale fonction de ce cheval de Troie est de diffuser des SMS contenant un lien vers un forum consacré à Mohamed Bouazizi à un contact sélectionné au hasard sur l'appareil (Mohamed Bouazizi s'est immolé à Tunis, ce qui a marqué le début de grandes manifestations dans le pays, puis la révolution.)

De plus, Arspam tente de définir le code ISO du pays où est utilisé le smartphone. Si la valeur est égale à BH (Barhein), le programme malveillant tente de charger sur le smartphone un fichier PDF contenant un rapport de la Bahrain Independent Commission of Inquiry sur les violations des droits de l'Homme.

Il s'agit peut-être pour l'instant du seul cas de programme malveillant d'hacktivisme pour appareil nomade mais on peut supposer que nous allons certainement rencontrer d'autres programmes similaires en 2012.

Conclusion

Au moment de dresser le bilan de l'année dernière, nous pouvons affirmer sans crainte que 2011 aura été une année clé dans le développement des menaces pour appareils mobiles. Toute d'abord, en raison de l'augmentation marquée du nombre de programmes malveillants. Ensuite, parce que les individus malintentionnés ont choisi Android comme cible principale des attaques. Troisièmement, parce qu'en 2011 les individus malintentionnés ont automatisé la production et la diffusion des programmes malveillants.

Que va donc nous réserver 2012 ? En bref, voici nos prévisions :

• Poursuite de la croissance de l'intérêt des auteurs de virus pour appareil nomades pour la plateforme Android qui vont consacrer leurs efforts à la création de programmes malveillants sous cette plateforme.
• Augmentation du nombre d'attaques à l'aide de vulnérabilités. Alors qu'actuellement les codes d'exploitation sont utilisés uniquement pour obtenir les privilèges root sur le smartphone, en 2012 nous nous attendons à voir les premières attaques dans le cadre desquelles les codes d'exploitation seront utilisés pour infecter le système d'exploitation.
• Augmentation du nombre d'incidents impliquant des programmes malveillants sur les magasins officiels d'application, tout d'abord sur Android Market.
• Premiers vers de diffusion massive pour Android.
• Développement de l'espionnage sur appareils mobiles.