G Data Malware Report. Rapport semestriel Juillet Décembre G Data SecurityLabs

Transcription

1 G Data Malware Report Rapport semestriel Juillet Décembre 2012 G Data SecurityLabs

2 Sommaire Vue d ensemble... 2 Codes malveillants : faits et chiffres... 3 Une croissance qui faibli... 3 Catégories de malwares... 3 Plateformes : Tous contre Windows!... 4 Les malwares sous Android... 5 Baromètre des risques... 6 Site web : Analyse sémantique et géographique... 8 Catégorisation par thème... 8 Catégorisation géographique... 9 Banque en ligne Les attaques d ampleur Les prévisions Android: un système attractif pour les utilisateurs et les cybercriminels Adware: La nouvelle tendance de Des malwares sur le Google Play Store Des codes malveillants de plus en plus perfectionnés Les Botnets sur le terrain du mobile Prévisions Copyright 2013 G Data Software AG 1

3 Vue d ensemble Le nombre total de nouveaux malwares a baissé sur le second semestre Cette année aura été relativement identique à 2011, avec une légère augmentation de 2,4%. En moyenne, nouvelles souches de malwares sont créées tous les jours. Le nombre de familles de malware est légèrement plus élevé (2 483 sur ce second semestre) que sur la première partie de l année. En termes de catégories, le nombre de backdoor a augmenté. Ils sont maintenant la deuxième catégorie la plus représentée devant les spyware et les downloader (3 e et 4 e ). Le nombre de souches de malware de la catégorie «tools» a explosé en Cette catégorie inclut, par exemple, les kits d exploitation de failles sur le web ou de récupération de coordonnées bancaires. La proportion de malware sous Windows reste stable à 99,8% mais la part des codes programmés en.net s est accru de manière significative. G Data Security Labs a reçu nouveaux fichiers malveillants sous Android soit cinq fois plus que sur le premier semestre Opérations bancaires en ligne : Citadel, le malware clone du célèbre ZeuS a atteint le haut du classement devant Bankpatch et Sinowal. Les Adware se font un peu moins présents sur PC mais gagnent du terrain sur les plateformes mobiles. Sur toutes les plateformes, les attaquants tentent de faire le maximum de profit pour le minimum d efforts. Évènements La découverte de miniflame comme nouveau composant du cyberespionnage. Les malware Mahdi et Gauss sont reliés à l espionnage. Les opérateurs de Botnet passent maintenant par Tor pour leur communication et envoient leurs commandes via le service Google Docs. L ingénierie sociale est un vecteur clé pour de nombreuses cyberattaques. Au second semestre, Java, le logiciel d Oracle a fait les gros titres suite à la découverte de plusieurs vulnérabilités critiques. Perspectives pour le premier semestre 2013 Le nombre de nouvelles souches de malware devrait rester au même niveau. Les activités des chevaux de Troie bancaire vont devenir plus difficiles à détecter. Nous nous attendons à voir ces malwares utiliser le réseau chiffré Tor. De nouvelles méthodes d attaques devraient apparaitre grâce aux technologies émergentes - telles que le NFC. Copyright 2013 G Data Software AG 2

4 Codes malveillants : faits et chiffres Une croissance qui faibli Comparé au premier semestre 2012, le nombre de souches de malware a reculé sur le second semestre. G Data SecurityLabs a enregistré nouveaux types de malware sur cette période 1, soit de moins que sur le semestre précédent. Graphique 1 : Nombre de nouveaux malware par an depuis Dans l ensemble, 2012 a été relativement identique à 2011 même si la tendance qui devait nous amener à trois millions de nouveaux malwares n a pas été respectée (le nombre actuel de malwares a atteint ). Évidemment, ce nombre reste très élevé et il ne faut pas oublier qu il s agit que des nouvelles signatures et non du nombre total des malwares en circulation. Sur les six derniers mois, certains indices font penser que les auteurs de malware se concentrent sur la qualité de leur code plutôt que sur la quantité et que ceci pourrait expliquer la baisse constatée. Catégories de malwares Les codes malveillants peuvent être regroupés selon leur fonctionnalité principale. Le Graphique 2 qui suit montre les catégories les plus importantes. 1 Les chiffres de ce rapport sont basés sur l identification des codes par leurs signatures. Elles sont basées sur des similarités dans le code. Des codes malveillants semblables sont rassemblés dans des familles, dans lesquelles des écarts mineurs sont considérés comme des variantes. Les fichiers complètement différents constituent la base de leurs propres familles. Le nombre repose sur des variantes de nouvelles signatures créées dans la seconde moitié de Copyright 2013 G Data Software AG 3

5 Le groupe des chevaux de Troie (aussi appelés «troyens») domine toujours les autres catégories. Cette famille rassemble une grande variété de malwares avec des fonctionnalités diverses : rançon ou faux antivirus par exemple et s installent en infectant les ordinateurs via, notamment, des portes dérobées. Le nombre de backdoors a aussi augmenté de manière constante sur le dernier semestre Graphique 2 : Nombre de nouveau malware par catégorie sur les six derniers semestres. et cette catégorie arrive maintenant en seconde position devant les spywares et les downloader. Le nombre de malwares dans la catégorie «tools» poursuit son ascension débutée il y a maintenant un an. Cette catégorie pointe actuellement à la 6 e place de notre classement. L explication de ce phénomène tient à l explosion du nombre de programmes qui exploitent les vulnérabilités web et détournent les opérations bancaires. La baisse du nombre d adware est notable. Cette tendance se retrouve dans les attaques enregistrées par le G Data SecurityLabs et que l on retrouve plus en détail dans la partie "baromètre des risques" de ce rapport. Plateformes : Tous contre Windows! Comme les programmes normaux, les malwares sont développés pour une plateforme spécifique. Windows a, depuis des années, une part très élevée dans cet univers 2. La fin de l année 2012 ne change pas ce constat. La proportion des malwares sous.net (MSIL) a connu une hausse significative comme le montre le tableau 1. 2 Malware pour Windows signifie ici que les fichiers exécutables au format PE appartiennent au Microsoft intermediate Language (MSIL). MSIL est un format intermédiaire utilisé dans l environnement de programmation.net. La plupart des applications.net sont indépendantes de la plateforme, mais elles sont pratiquement toutes utilisées sous Windows Copyright 2013 G Data Software AG 4

6 Diff. #2012 H2 #2012H1 Diff. #2012 #2011 Plateforme #2012 H2 part #2012 H1 part 1 Win 1,223, % 1,360, % % +2.37% 2 MSIL 33, % 18, % % % 3 WebScripts 1, % 1, % % % 4 Java 426 <0.1% 662 <0.1% % % 5 Scripts <0.1% 483 <0.1% % % Tableau 1 : Top 5 des plateformes sur les deux derniers semestres. La comparaison annuelle entre 2012 et 2011 fait apparaitre une chute de 50% des nouveaux scripts web. Cependant, ceci ne signifie pas forcément qu il y a moins de danger en provenance des sites web. En effet, ici sont recensées les nouvelles signatures et non les attaques enregistrées. Vous trouverez plus d informations à ce sujet dans la partie «baromètre des risques». Dans le même temps, le nombre de nouveaux malwares ciblant la plateforme Java a suivi une trajectoire inverse : il a pratiquement doublé. Une des explications est à trouver dans les vulnérabilités récurrentes qui ont marqué l actualité de cette plateforme 5 pendant toute l année Des vulnérabilités qui ont, manifestement, attiré l attention des cybercriminels. Les malwares sous Android Différentes données peuvent être utilisées pour compter les malwares sous Android. L une d entre est le nombre de fichiers malveillants. Sur le second semestre 2012, fichiers sont arrivés dans le SecurityLabs de G Data 6, soit cinq fois plus que sur la période précédente. Malheureusement, il est difficile de retracer la chronologie de diffusion de tous ces échantillons, car la date exacte du premier enregistrement de chaque échantillon n'est pas toujours connue. 7 Le graphique 3 montre la diffusion de tous les échantillons dont la date d apparition a été clairement établie. Family # variants FakeInst 90 SMSAgent 80 Ginmaster 63 Opfake 55 Agent 46 Graphique 3 : diffusion des fichiers dont la date d apparition est connue. 3 Une erreur d arrondie dans le précédent rapport a été corrigée ici passant ce chiffre de 1,3% à 1,4%. 4 Les Scripts sont des fichiers batch ou des scripts/programmes écrits en VBS, Perl, Python ou Ruby Les malwares sous Android peuvent être identifiés sur la base de plusieurs fichiers. Le package d installation (APK) contient de nombreux fichiers qui incluent le code et les propriétés d autres éléments. Le comptage ne prend en compte que les fichiers APK même s ils sont composés de plusieurs fichiers % des nouveaux fichiers malveillants du second semestre 2012 n ont pas de date connue. Ces fichiers ont été attribués sur les trois à six derniers mois. Copyright 2013 G Data Software AG 5

7 Comme les signatures virales 8, les fichiers malveillants peuvent être assignés à certaines familles de malware et leurs variantes fichiers malveillants trouvés sur Android peuvent être classés dans variantes et 314 familles. 131 nouvelles familles sont apparues au second semestre Le Tableau 2 montre quelles familles ont le plus de variantes. Famille # variantes À l instar de ce que l on constate sur PC, la plupart des malwares pour mobile sont des chevaux de Troie. 9 La proportion de nouveaux adware reste faible. Cependant, les attaques de cette nature sur cette plateforme viennent tout juste de commencer et nous nous attendons à ce qu elles prennent une part plus importante. En effet, les adware génèrent des profits en affichant des publicités (voir le paragraphe «Adware: La nouvelle tendance de 2012»). Les prévisions d accroissement du nombre de nouveaux malwares et du nombre de familles étaient correctes. Nous avions aussi prévu que de nouveaux scénarios d attaques allaient s intégrer dans de nouvelles familles de malware. (Vous trouverez plus d informations sur ce sujet dans le paragraphe «Android: un système attractif pour les utilisateurs et les cybercriminels».) FakeInst 90 SMSAgent 80 Ginmaster 63 Opfake 55 Agent 46 Tableau 2 : Liste des familles de malwares sous Android avec le plus de variantes (2e semestre 2012) Baromètre des risques Le nombre d attaques d utilisateurs des solutions G Data (et ayant activé MII) 10 a aussi augmenté sur ce second semestre. L analyse des données établit le classement suivant : Rank Name Percent 1 Win32:DNSChanger-VJ [Trj] 9.24% 2 Trojan.Wimad.Gen % 3 Win64:Sirefef-A [Trj] 1.99% 4 Trojan.Sirefef.HU 1.15% 5 Trojan.Sirefef.GY 1.11% 6 Trojan.Sirefef.HH 0.86% 7 Exploit.CVE Gen 0.78% 8 Trojan.Sirefef.HK 0.75% 9 Generic.JS.Crypt1.C14787EE 0.61% 10 JS:Iframe-KV [Trj] 0.58% Tableau 3: Le top 10 des attaques enregistrées par MII sur S Le premier constat est que le troyen Sirefef, aussi appelé Zero Access, et ses différentes versions est très bien représenté dans ce classement. Dans le précédent rapport, nous avions déjà mentionné la 8 Le compte des signatures et des variantes est basé sur les signatures des solutions G Data MobileSecurity. 9 cf. Graphique 2 10 La Malware Information Initiavie (Mll) tire sa puissance de sa communauté en ligne et tous les utilisateurs ayant acquis une solution de sécurité G Data peuvent y participer. Seul prérequis: l'activation de cette fonction dans l'un des programmes de G Data. Par la suite, chaque fois qu'un malware est détecté et supprimé, un rapport totalement anonyme est ajouté à la base statistique de G Data Security Labs. Copyright 2013 G Data Software AG 6

8 famille des chevaux de Troie et leur structure modulaire. Elle est notamment utilisée pour les fraudes au clic qui rapportent beaucoup d argent à ceux qui les mettent en place. Sur les six derniers mois, il y a eu tellement de variantes que ce malware a pris le contrôle du top 10. Si toutes les variantes étaient additionnées sous une seule signature, Sirefef figurerait parmi les premières places ce qui donnerait une vision plus claire de ce classement. A la première place, la présence de Win32:DNSChanger-VJ [Trj] s explique notamment par son utilisation très courante dans les infections perpétrées par les malwares de la famille Sirefef. Même si Sirefef est utilisé notamment pour les fraudes au clic, aucun adware (malware dont les ressources proviennent d une activité proche : les bandeaux publicitaires) ne s est hissé dans notre top 10. Ceci confirme la tendance que nous avions déjà notée au premier semestre (cf. graphique 2). Le décompte du malware Generic.JS.Crypt1.C14787EE de notre top 10 peut comporter un biais. En effet, ce code peut à la fois être détecté lorsqu un site web utilise un code javascript spécifique pour afficher un bandeau publicitaire, mais aussi quand un cybercriminel veut générer artificiellement des clics supplémentaires et accroitre ses gains dans les systèmes de rémunération au clic. Pour finir, on compte un nouvel entrant dans notre top 10 : Exploit.CVE Gen. Cette signature, qui exploite la vulnérabilité CVE est apparue dans les documents infectés (documents Microsoft Word ou d autres fichiers textes). Cette vulnérabilité permet notamment d exécuter des fonctions malveillantes comme télécharger et exécuter des malwares supplémentaires. Copyright 2013 G Data Software AG 7

9 Site web : Analyse sémantique et géographique Catégorisation par thème Si l on analyse les thèmes utilisés par les auteurs de sites web malveillants, beaucoup de choses se sont passées lors de ce second semestre Le top 10 représente maintenant 88.6% des thématiques abordées par les sites observés, soit 17.9% de plus qu au premier semestre Il couvre donc la presque totalité des sujets sur lesquels les cybercriminels ont mis l accent. Les Forums, nouvel arrivant dans ce classement pointe directement au quatrième rang. Autre nouvelle catégorie, les sports arrivent, eux, en huitième position. Les jeux et la musique ont disparu du top 10. Dans le top 3, les thématiques Technologie & Télécommunications, Éducation et professionnel ont beaucoup plus servi de plateforme pour des opérations d hameçonnage Paypal que sur la période précédente. La thématique Voyage avait aussi servi à ce type d hameçonnage sur le semestre précédent. (Pour plus de détails sur les fraudes bancaires en ligne voir page 11.) Les catégories Forums et Blogs sont souvent reliés à des malwares. Ceci est dû aux nombreuses vulnérabilités dont souffrent quantité de système de forum et Figure 4: Top 10 des sites infectés par thème (2 e semestre 2012) de blog. Les cybercriminels utilisent les moteurs de recherche pour les lister et lancent des attaques automatisées afin d y placer leurs codes malveillants. Un mécanisme qui leur permet de toucher un grand nombre de victimes sans effort. Sans surprise, la thématique Pornographie fait aussi partie de notre top 10. Cependant, il faut faire une distinction entre les sites web réputés de ce domaine et les sites frauduleux. Ces derniers sont souvent classés dans les sites malveillants, car ils proposent des mises à jour supposées indispensables pour visionner leurs contenus et qui sont, en réalité, des programmes malveillants. Dans d autres cas, il s agit de véritable hameçonnage et les sites contrefaits tentent de récupérer des données personnelles ou des coordonnées bancaires. Les sites légitimes sont évidemment concernés par cette menace et font de gros efforts pour adapter leurs infrastructures réseau en conséquence. 11 Dans ce contexte, les sites web malveillants rassemblent à la fois les sites d hameçonnage et ceux qui propagent des codes malveillants. Copyright 2013 G Data Software AG 8

10 Conclusion : Ces six derniers mois, nous avons donc assisté à une concentration des sujets utilisés par les cybercriminels pour attirer les internautes. Évidemment, ceci ne signifie pas que la menace se limite à ses thématiques. Encore une fois, nous voyons que les blogs sont particulièrement bien représentés dans notre classement. Ceci confirme la tendance déjà notée dans notre précédent rapport. Les attaques de masse sur les systèmes de gestion de contenu (CMS) sont toujours aussi populaires et restent d actualité. Ces attaques correspondent bien à la façon de faire des cybercriminels : le moindre effort pour le plus d efficacité possible dans la diffusion des malwares et la garantie d un retour financier conséquent. Catégorisation géographique En plus de l analyse thématique, il est intéressant de relever la distribution géographique des sites web malveillants. Notre carte ( Graphique 5 ) montre la concentration de sites par pays. Le principal enseignement que l on peut tirer de cette carte est que, grâce à leurs bonnes Localisation moins populaire Localisation plus populaire Graphique 5 : Carte des pays hébergeant des sites web malveillants infrastructures, certaines régions du monde sont particulièrement attractives pour l hébergement de sites web malveillants. C est évidemment le cas des États-Unis et de l Europe avec des pays comme l Allemagne, la France, l Espagne et la Grande-Bretagne. Autre élément notable, les attaques en provenance de la Chine ont encore augmenté par rapport au premier semestre Le nombre de pays qui ne sont pas du tout touchés par l hébergement de sites malveillants s est encore réduit. G Data SecurityLabs enregistre maintenant un très petit nombre de zones «blanches». Le centre de l Afrique reste, par exemple, épargné. (On note cependant que les pays Copyright 2013 G Data Software AG 9

11 limitrophes sont maintenant touchés). Ceci est évidemment dû au très faible nombre de sites web hébergés dans ces zones. (La majorité l est en Afrique du Sud). Banque en ligne Lors de ce second semestre, plusieurs tendances intéressantes ont été notées dans le secteur des chevaux de Troie bancaire. Le nombre d infections a été divisé par trois entre juillet et décembre Q Bankpatch 29.1% Citadel 25.5% ZeuS 23.3% Sinowal 16.3% Spyeye 3.1% Others 2.7% Graphique 5: Part des chevaux de Troie bancaire détectés par BankGuard sur le 2nd semestre 2012 Q Citadel 24.0% Bankpatch 22.8% ZeuS 17.9% Sinowal 13.2% Tatanga 10.1% Others 12.0% Tableau 4: part des chevaux de Troie bancaire détecté par BankGuard sur Q1 et Q L une des raisons de cette baisse tient à l arrestation de plusieurs cybercriminels de ce secteur sur le premier semestre de l année. 12 Il est apparu que seulement quelques développeurs étaient à l origine du développement de la plupart des chevaux de Troie ce qui a pratiquement stoppé l arrivée de nouveaux codes malveillants. Cela a aussi permis aux éditeurs d antivirus de mieux prendre en charge cette menace. Si l on fait le décompte des chiffres, l ensemble des chevaux de Troie a perdu du terrain (Graphique 6). SpyEye a pratiquement disparu. Citadel, le clone de Zeus prend la tête de notre classement devant Bankpatch et Sinowal. Les attaques d ampleur Les nouveaux chevaux de Troie tels que Shylock et Tilon, n ont pas encore atteint des taux d infection élevés par rapport à leurs «confrères». Seul Tatanga semble prendre un peu d importance. Autre cas intéressant : Prinimalka 13. Ce troyen ferait partie d une attaque de grande ampleur à l encontre des utilisateurs de banques américaines, attaque appelée «Project Blitzkrieg». À ce jour, aucune date du début de cette opération n a été découverte. G Data n a, pour l instant, enregistré aucun taux d infection significatif de ce code malveillant. 12 G Data SecurityLabs avait déjà évoqué cet élément lors du précédent rapport semestriel Copyright 2013 G Data Software AG 10

12 Une attaque qui, elle a déjà eu lieu est l opération «High Roller». Elle a été détectée au début de ce second semestre et a utilisé les vieux chevaux de Troie ZeuS et SpyEye. L algorithme utilisé pour récupérer les transactions avait, lui, été amélioré à tel point qu il était possible d enregistrer des données même lorsque l authentification se faisait avec une carte à puce. L opération «High Roller» s est attaquée spécifiquement à des comptes richement dotés comme ceux de sociétés. De grosses sommes d argent ont été transférées vers les comptes de «mules». Le montant des détournements n est pas connu à ce jour. Des sources parlent de sommes oscillant entre 60 millions et 2 milliards d euros. Une part de ces sommes a probablement été bloquée par les banques sans que l on puisse déterminer le montant réellement volé. À noter que leurs technologies développées par G Data BankGuard sont capables de prévenir ce type d attaques. Graphique 6: Évolution du nombre d infection pour les cinq chevaux de Troie les plus courant au second semestre 2012 Les prévisions Difficile de dire quel troyen bancaire sera en tête du peloton en Bankpatch a connu une telle chute de son taux d infection que le futur de ce code malveillant n est pas assuré. Les auteurs de Citadel semblent faire profil bas pour le moment tout semble plaider pour un statut quo au niveau du classement. On peut prédire l arrivée de nouveaux clones de Zeus, mais ils ne devraient pas atteindre les «performances» de Citadel en termes de taux d infection. Plusieurs éléments indiquent que Carberp pourrait faire son retour : au marché noir, son code est en vente et la découverte d une version mobile pourrait le relancer 14. Pour le reste, nous ne pensons pas que la baisse des infections via des chevaux de Troie bancaire devrait se poursuivre en Les fortes sommes d argent que peuvent rapporter ces programmes vont attirer de nombreux cybercriminels. Et ce, malgré les menaces de poursuites judiciaires. Ces poursuites ont non seulement alerté les développeurs, mais aussi les utilisateurs de codes malveillants. Des discussions ont été lancées sur les forums underground sur l utilisation du réseau 14 Voir graphique 8. Copyright 2013 G Data Software AG 11

13 Tor pour les communications de ces programmes malveillants. 15 Cette technique a déjà été utilisée pour de récents botnets tels que Skynet. Jusqu à présent, l Europe de l Est a été le centre du commerce de chevaux de Troie bancaire. Ces opérations étaient même menées à «ciel ouvert». Des actions ont été menées pour faire comprendre aux cybercriminels que cette impunité était terminée. Ce commerce devrait rapidement devenir beaucoup plus opaque. Il est aussi possible que ces activités migrent vers des pays où les poursuites judiciaires seront moins courantes. Android: un système attractif pour les utilisateurs et les cybercriminels Lors de ce second semestre 2012, G Data s est aussi penché sur les menaces qui pèsent sur les smartphones et les tablettes. Ce marché en pleine expansion continue d offrir de grandes opportunités aux cybercriminels sans trop demander de moyens. Les malwares apparus sur ce secteur comportent notamment des adaptations de codes malveillants déjà très connus, mais aussi de nouvelles approches. Deux tendances se concrétisent : Les malwares se complexifient et leur nombre s accroit 16 Graphique 7: selection de malwares pour mobile apparus en 2012 Adware: La nouvelle tendance de 2012 Le développement des adware dans les périphériques mobile contraste avec leur raréfaction sur PC. 17 Sur mobile, le meilleur moyen de faire de l argent est d envoyer des SMS surtaxés, mais la tâche est plus ardue. En effet, l installation demande des autorisations, et nécessite la participation active de l utilisateur. Sur le Google Play Store l installation demande obligatoirement la confirmation de l utilisateur, les auteurs de malwares sont donc plus enclins à utiliser les marchés alternatifs où les codes sont moins, voire pas du tout, surveillés. Depuis la version 4.2 d Android, la sécurité a même été renforcée puisqu une liste des droits accordés à chaque application apparait avant son installation. Malheureusement, il n y a pas grand-chose à faire pour aider les utilisateurs de la génération «clic et oublie» qui acceptent sans rechigner les programmes les plus douteux cf. chapitre Les malwares sous Android page Voir page 4 et page 7. Copyright 2013 G Data Software AG 12

14 Un nouveau business lucratif implique même des applications listées dans Google Play Store. Un adware préalablement installé sur le smartphone ou la tablette permet de facturer des services en passant outre l autorisation de l utilisateur. En dehors d afficher des publicités, les adware peuvent aussi proposer aux utilisateurs de télécharger des applications additionnelles qui se révèleront souvent être des malwares. Sur la seconde partie de l année 2012, les utilisateurs d Android ont notamment été confrontés au cheval de Troie Android.Trojan.FakeDoc.A, aussi appelé FakeDoc.A. 18 Caché dans des applications du type «Battery Doctor», ce troyen vise les données telles que la liste des contacts de sa victime. En apparence l application se limite à faire apparaitre le niveau de la batterie et à la gestion des connexions wifi et Bluetooth. En arrière-plan, il en va tout autrement : le cheval de Troie installe un service d adware qui fait apparaitre des publicités pour des applications malveillantes et des sites web au contenu douteux. Ce service reste installé même lorsque l application est supprimée. Ainsi, il est même impossible pour l utilisateur de savoir quelle application est à l origine de cette infection. Les auteurs d Android.Trojan.MMarketPay.A, (MMarketpay.A), ont utilisé une approche similaire pour diffuser leur code malveillant. Les applications «trojanisée», comme «Go Weather», «Travel Sky» et «ES Datei Explorer», étaient proposées en téléchargement sur des sites chinois et des stores alternatifs. Screenshot 1: Trojan MMarketpay se cachait dans une application fonctionnelle de météo Ces applications donnaient en apparence accès à quelques informations sur la météo. En tâche de fond, le code malveillant se rendait sur des sites marchands chinois pour acheter des biens sans aucune intervention de l utilisateur 19, MMarketpay.A faisait aussi la publicité pour des applications supplémentaires, toutes avec leurs lots de chevaux de Troie. Ce type d applications «trojanisées» a gagné du terrain pendant toute l année Petit raffinement apporté par les développeurs de ces codes malveillants : les applications proposées sont différentes suivant l origine géographique de l utilisateur (géolocalisé grâce à son adresse IP). Lorsque l utilisateur clique sur une offre, il est redirigé non pas sur le Google Play Store mais vers des sources d applications non sécurisées : un store alternatif localisé en Asie, voire sur un site web indépendant... De notre point de vue, les messages d alertes d Android n insistent pas assez sur la fiabilité des services de téléchargement lors de l installation d une nouvelle application. Screenshot 2: De la publicité pour des applications localisées sur un serveur chinois Même si le code malveillant de MMarketpay.A était limité au marché chinois, il donne un bon aperçu du futur. Il ne faudrait que des modifications mineures pour que ce type d attaque puisse être utilisé en Europe ou sur le marché américain. La volonté d interconnecter les boutiques d applications va à l encontre de la sécurité. 18 FakeDoc a été décrit en détail dans notre précédent rapport Copyright 2013 G Data Software AG 13

15 Des malwares sur le Google Play Store Même si, au début de l année, Google a mis en place son système de vérification d application, il y avait encore des malwares sur le Google Play au second semestre Android.Trojan.FindAndCall.A, (FindAndCall.A) en est un exemple. Cette application que l on trouve à la fois sur Google Play et sur l App store d Apple est un malware qui envoie le détail des contacts de l utilisateur vers un serveur défini par l attaquant. Cette machine Screenshot 3: Find And Call sur Google Play Screenshot 4: Find And Call sur l App Store d Apple peut alors envoyer des SMS non sollicités à toutes ces personnes. Ce message comportait en prime un lien pour télécharger l application malveillante. Ces SMS, émanant d une personne connue, auront bien plus de chance de convaincre le destinataire d installer l application recommandée. À peu près au même moment que FindAndCall.A faisait parler de lui, des scientifiques américains ont publié un rapport sur la manière dont ils avaient pu mettre en ligne sur Google Play une application apparemment inoffensive, mais cachant de nombreuses fonctions malveillantes. Ce malware, qui a pris en défaut Google s Bouncer, n était pourtant pas d une conception très éloignée des malwares «réels» (il envoyait un contact toutes les 15 minutes à un serveur au lieu d un par seconde pour les codes malveillants habituels). 20 Ceci montre qu il reste difficile de concevoir un outil permettant de détecter tous les malwares. Les systèmes de sécurité mis en place par Google interviennent très tard pour supprimer ces codes indésirables de son magasin d application. Une protection additionnelle, sous la forme d un logiciel de sécurité, installée sur le périphérique mobile, est donc un impératif. Des codes malveillants de plus en plus perfectionnés Les commentaires que l on trouve dans les codes sources de ces malware laissent à penser que les codes vont aller en se complexifiant. De nouvelles fonctions sont en passe d être rajoutées. Par exemple, FindAndCall.A contient un bout de code qui récupère la localisation GPS de l utilisateur et l envoi sur un serveur prédéfini. Bien que déjà présente dans le programme, cette fonction n a pas encore été activée. Les biens nommés crimeware kits, qui facilitent grandement la tâche des cybercriminels sont aussi présents sur le terrain des périphériques mobiles. Les malwares élaborés avec ces outils professionnels fonctionnent très bien et sont plus difficiles à trouver que ceux créés par de mauvais programmeurs. Ces kits génèrent principalement des chevaux de Troie ce qui explique le grand nombre de variantes trouvées sur les mobiles (voir Graphique 2, page 4.) 20 Copyright 2013 G Data Software AG 14

16 Pour mémoire, les kits d élaboration de malwares sont mis en vente sur les forums et sont d un accès très simple : on peut choisir les fonctionnalités à ajouter à son malware et le code est ajouté automatiquement. Les Botnets sur le terrain du mobile Les botnets sont bien connus du monde des ordinateurs. Les cybercriminels s en servent pour, par exemple, envoyer du spam, attaquer des sites web ou des serveurs (Ddos) ou encore pour récupérer des données. La taille des botnets est extrêmement variable : de quelques ordinateurs à plusieurs Attaquant Commande vers le bot: SMS surtaxés SMS/appel surtaxés mobile infecté Paiement Service surtaxé facturation Graphique 8: schéma de la rémunération d une attaque à partir d un botnet en version «mobile» milliers d ordinateurs «zombies». Les périphériques mobiles peuvent aussi rejoindre ces botnets si l attaquant parvient à récupérer un accès complet au terminal (accès root). Il peut y parvenir en exploitant des vulnérabilités non corrigées du système d exploitation. Backdoor Android.Backdoor.SpamSold.A, (SpamSoldier.A) capture ses victimes avec une copie illégale du jeu très connu Angry Birds. L application infectée est proposée gratuitement en téléchargement sur des marchés alternatifs ou sur des sites web. Une fois que le malware est installé sur le téléphone, son serveur de commande et de contrôle envoie une liste de numéros de téléphone surtaxés ou pas. Sans que l utilisateur puisse le détecter, ces numéros sont contactés via SMS/appel vocal aux frais de la victime. Une fois ces numéros exploités, le malware récupère une nouvelle liste. L utilisateur ne sera informé de ces envois/appels qu à la réception de la note de téléphone. Les montants peuvent être très élevés. L arrivée des bots sur les mobiles a un objectif clair : générer des profits rapidement et simplement! Voir graphique 9. Copyright 2013 G Data Software AG 15

17 Prévisions Avec 1,3 million de nouveaux périphériques activés chaque jour, Android est une cible toujours plus appétissante pour les cybercriminels. Des codes malveillants déjà connus sont adaptés pour cette plateforme. Selon une analyse du cabinet Flurry, plus de 17,4 millions de terminaux ios et Android ont été activés le jour de Noël Screenshot 5: tweet d Andy Rubin au sujet des activations de mobile sous Android Par conséquent, en plus de l'espionnage de données, l'envoi de SMS vers des numéros surtaxés continuera d'être la principale fonction malveillante en Les nouvelles technologies embarquées dans les périphériques mobiles ouvrent d autres opportunités pour les attaquants. En 2011, Google a créé un nouveau business model avec l application Google Wallet, 23. Celle-ci a pris de l ampleur avec le ralliement de nombreuses sociétés de carte de crédit depuis aout Google Wallet est un système de paiement mobile qui autorise les utilisateurs à stocker leur carte de paiement, carte de crédit et carte d abonnement ou coupons de paiement sur leur smartphone. Le téléphone peut être utilisé pour payer des achats dans des magasins (officiellement, seulement aux USA pour l instant) ou sur le web. Pour les paiements dans des magasins réels, le service utilise le Near Field Communication (NFC, qui a été ajouté à Android à partir de la version 2.3). Ceci permet de payer en tenant simplement le téléphone près de la borne PayPass à la caisse du magasin. Depuis 2012, cette technologie NFC a été implémentée dans de nombreux smartphones sans que les utilisateurs ne soient informés de son fonctionnement et des risques qui en découlent ce qui la rend évidemment très intéressante aux yeux des pirates. Et ce d autant plus que des vulnérabilités ont été trouvées dans Google Wallet : des informations ont pu être récupérées en dehors de l application. Des hackeurs ont réussi à intercepter les communications et à en extraire des éléments critiques rendant toutes les transactions non sécurisées. 24 En 2013, les cybercriminels vont continuer à observer le marché des périphériques mobiles. Les fortes ventes de ces terminaux rendent Android de plus en plus intéressant pour eux. L accélération des vitesses de transmission et de la bande passante allouées aux smartphones, le développement des paiements par NFC et d autres technologies vont accroitre d autant les possibilités d attaques pour Cependant, tant qu il sera possible de faire de l argent facilement en diffusant des chevaux de Troie insérés dans des applications piratées, c est cette méthode qui prévaudra. Si le ratio cout/bénéfice change, de nouveaux scénarios seront trouvés. Sur ce point, il n y a donc aucune différence entre les cybercriminels agissant sur les plateformes mobiles et ceux présents sur PC Copyright 2013 G Data Software AG 16