Virologie mobile, 4e partie



Documents pareils
Aperçu de l'activité virale : Janvier 2011

Virologie mobile, 5e partie

«Obad.a» : le malware Android le plus perfectionné à ce jour

Auteur : Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet

Les vols via les mobiles

Manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus

GUIDE DE DÉMARRAGE RAPIDE

Les menaces sur internet, comment les reconnait-on? Sommaire

Configuration Wi-Fi pour l'utilisation d'eduroam

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Étude de cas d'eurograbber : Comment 36 millions ont été dérobés grâce à des logiciels malveillants

Informations sur la sécurité

Sécurité des Postes Clients

Sage CRM. 7.2 Guide de Portail Client

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Guide de l'utilisateur

Faille dans Internet Explorer 7

MANUEL. de l application «CdC Online» pour Windows. Table des matières

Comment utiliser mon compte alumni?

AV-TEST teste 22 applications antivirus pour les smartphones et les tablettes Android

Configurer son courrier électrique avec votre compte Abicom

1. Étape: Activer le contrôle du compte utilisateur

Vous y trouverez notamment les dernières versions Windows, MAC OS X et Linux de Thunderbird.

Les messages d erreur d'applidis Client

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

Ref : Résolution problème d'accès aux supports de cours

Module 8. Protection des postes de travail Windows 7

Notions de sécurités en informatique

Thunderbird et messagerie sur clé USB

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Partager la connexion Internet de son te le phone portable

Edutab. gestion centralisée de tablettes Android

(Fig. 1 :assistant connexion Internet)

Par Marc Gaudreau, CISSP

Qlik Sense Desktop. Qlik Sense Copyright QlikTech International AB. Tous droits réservés.

AJOUTER UN COMPTE DE MESSAGERIE SUR UN SMARTPHONE

PARAGON SYSTEM BACKUP 2010

Assistance à distance sous Windows

Qu'est ce que le Cloud?

Sophos Mobile Encryption pour Android Aide. Version du produit : 1.3

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

Kits d'exploitation: un autre regard

Installation de la messagerie EMWAC IMS Sur Windows NT4 serveur ou Windows 2000 serveur

[ Sécurisation des canaux de communication

Sophos Mobile Encryption pour Android Aide. Version du produit : 1.0

A. Sécuriser les informations sensibles contre la disparition

Google Drive, le cloud de Google

Le service FTP. M.BOUABID, Page 1 sur 5

TP réseau Android. Bidouilles Tomcat. a) Installer tomcat : il suffit de dézipper l'archive apache-tomcat windowsx64.zip.

Manuel d'utilisation d'apimail V3

Cybercriminalité en 2014 : intelligente, dangereuse et furtive. Comment s'en prémunir?

Sophos Mobile Control Guide d'administration. Version du produit : 4

Seagate Technology LLC S. De Anza Boulevard Cupertino, CA 95014, États-Unis

Manuel d'installation et de déploiement. Sécurité complète pour portables d entreprise

GesTab. Gestion centralisée de tablettes Android

Lisez ce premier. Droit d'auteur

Manuel d utilisation. Copyright 2012 Bitdefender

1. Comment accéder à mon panneau de configuration VPS?

cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION

Glossaire. Acces Denied

2010 Ing. Punzenberger COPA-DATA GmbH. Tous droits réservés.

PROTECTION DES PÉRIPHÉRIQUES MOBILES ET GESTION DE FLOTTE MOBILE (Kaspersky MDM licence Advanced)

Guide d'installation du connecteur Outlook 4

Thunderbird en version Portable

GUIDE D UTILISATION DES SERVICES PACKAGES

Une protection antivirus pour des applications destinées aux dispositifs médicaux

Le générateur d'activités

BITDEFENDER GRAVITYZONE

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

Votre appareil est configuré en usine pour permettre d'envoyer immédiatement des SMS.

LOGO Smartphones, tablettes, et autres gadgets quel impact sur notre métier d ASR

Dossier sécurité informatique Lutter contre les virus

Guide d installation

Guide Google Cloud Print

Copyright Arsys Internet E.U.R.L. Arsys Backup Online. Guide de l utilisateur

Qu'est-ce que c'est Windows NT?

Installation et Réinstallation de Windows XP

KASPERSKY SECURITY FOR BUSINESS

Logiciel Version 1.0 ConnectKey TM Share to Cloud Avril Xerox ConnectKey Share to Cloud Guide de l'utilisateur et de l'administrateur

Installation de Windows 2000 Serveur

Procédure d'installation complète de Click&Decide sur un serveur

Télécharger et Installer OpenOffice.org sous Windows

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Guide destiné aux partenaires: de l'inscription à MPN à l'établissement d'une offre pour Office 365


Tutoriel : Comment installer une compte (une adresse ) sur un logiciel de messagerie (ou client messagerie)?

TAGREROUT Seyf Allah TMRIM

Guide de déploiement

Le rôle Serveur NPS et Protection d accès réseau

Module SMS pour Microsoft Outlook MD et Outlook MD Express. Guide d'aide. Guide d'aide du module SMS de Rogers Page 1 sur 40 Tous droits réservés

Guide de l'utilisateur de l'application mobile

Internet sans risque surfez tranquillement

Business Sharepoint Contenu

CA ARCserve Central Host-Based VM Backup

Transcription:

Virologie mobile, 4e partie Denis Maslenikov Introduction Depuis la publication de l'article «Virologie mobile, 3e partie», plusieurs événements marquants se sont produits dans le domaine de la virologie. D'abord, les rapports entre les différents systèmes d'exploitation pour appareils nomades ont changé. Android est de plus en plus populaire tandis que Windows Mobile perd du terrain. Les systèmes d'exploitation ios et Blackberry ont également accru leur part de marché et Symbian est toujours en recul, même s'il conserve une position dominante à l'échelon mondial. Ensuite, la liste des plates-formes sur lesquelles des programmes malveillants ont été détectés s'est élargie. Elle compte désormais ios (le système d'exploitation pour iphone/ipod Touch/iPad) et Android. Comme nous l'avons déjà dit, les programmes malveillants pour ios n infectent uniquement que les téléphones jailbreakés. De plus, les programmes malveillants ainsi que leurs attaques sont devenues plus complexes. Enfin, l'écrasante majorité des programmes malveillants que nous avons détectés au cours des 12 derniers mois cherche d'une manière ou d'une autre à dérober de l'argent aux utilisateurs. Avant de passer à l'analyse proprement dite, voici quelques statistiques. Familles et modifications : statistiques et changements La forte popularité des smartphones ainsi que la hausse du nombre de nouveaux services ont entraîné une augmentation du nombre de programmes malveillants. Ces programmes sont utilisés par des individus malintentionnés qui tentent Mi-août 2009, nous avions découvert 106 nouvelles familles et 514 nouvelles modifications de programmes malveillants pour appareils nomades. À la fin de l'année 2010, on comptait 153 familles et plus de 1 000 modifications! Autrement dit, en 2010, nous avons noté une hausse de 65,12 % de nouveaux programmes malveillants pour appareils nomades par rapport à 2009, soit près du double en 17 mois. À l'issue de l'année 2010, la situation était la suivante (voir tableau «Nombre de familles et de modifications par plateforme). Ces données peuvent être représentées sous la forme d'un diagramme (voir diagramme «Répartition des modifications des objets détectés par plate-forme). Nous constatons que les auteurs de virus ont augmenté la production de chevaux de Troie J2ME et que le nombre de modifications de programmes malveillants J2ME a dépassé le nombre de programmes malveillants pour Symbian. Pour rappel, les programmes malveillants Java constituent une menace non seulement pour les utilisateurs de smartphones, mais également pour tout utilisateur de téléphone portable traditionnel. Dans la majorité des cas, ces programmes malveillants tentent d'envoyer un SMS vers un numéro payant.

Liste des programmes malveillants pour appareils mobiles apparus entre août 2009 et décembre 2010 (par famille). Voir tableau «Total 46 nouvelles familles». Nombre de nouvelles modifications et de nouvelles familles de programmes malveillants découvertes entre août 2009 et décembre 2010 inclus pour les différentes plates-formes. Voir tableau «Nombre de nouvelles modifications et de nouvelles familles de programmes malveillants» Nouveautés Méthodes de «rentabilisation» des programmes malveillants pour appareils nomades Le secteur des programmes malveillants pour appareils nomades est toujours dominé par les programmes qui envoient des SMS vers des numéros surfacturés. L'utilisation de chevaux de Troie SMS demeure pour les individus malintentionnés la méthode la plus simple et la plus efficace pour gagner de l'argent La raison est assez simple : le moindre appareil nomade, qu'il s'agisse d'un smartphone ou d'un téléphone traditionnel, est directement lié au compte mobile de l utilisateur et donc à son argent. Et c'est cet «accès direct» que les individus malintentionnés exploitent activement. Un des ces chevaux de Troie SMS a même été adopté par les propriétaires de sites pornographiques. Les smartphones infectés par Trojan-SMS.AndroidOS.FakePlayer envoyaient ainsi quatre SMS à un numéro utilisé afin de payer l'accès à des contenus pornographiques. Cependant, depuis 2010, l'envoi de SMS payant n'est plus la seule source de revenus illicites pour les auteurs de virus. En effet ces derniers développent désormais des programmes malveillants pour plusieurs plates-formes nomades. En 2010, pour la première fois en 6 ans d'histoire de programmes malveillants pour appareils nomades, nous avons détecté un cheval de Troie (Trojan.WinCE.Terdial.a), qui appelle des numéros payant internationaux. Un ver pour iphone (Net-Worm.IphoneOS.Ike.b) a été utilisé par des individus malintentionnés pour réaliser des attaques de phishing ciblant les clients d'une banque des Pays-Bas. Ainsi lorsque le client tentait d'accéder au site de la banque depuis le smartphone infecté par le ver, il était redirigé vers un site de phishing. Nous avons également observé un programme malveillant (Trojan-Spy.SymbOS.Zbot.a) que les individus malintentionnés ont programmé afin qu'il contourne l'authentification par SMS des utilisateurs des systèmes de transactions bancaires en ligne. Ce cheval de Troie mobile a été utilisé dans une attaque complexe avec un autre programme malveillant aussi dangereux que Zbot (ZeuS). Ces programmes malveillants et d'autres sont présentés en détails ci-dessous. Technologies Depuis la publication du dernier rapport aucune nouvelle technologie n'a fait son apparition parmi les programmes malveillants. Cependant, les nouveaux programmes malveillants exploitent activement des technologies connues dans des combinaisons plus dangereuses. Ainsi, les programmes malveillants interagissent de plus en plus avec les serveurs distants des individus malintentionnés. Désormais, ces individus malintentionnés peuvent :

Obtenir facilement les données des utilisateurs ; Actualiser les paramètres de fonctionnement du programme malveillant ; Regrouper les appareils nomades infectés au sein de réseaux de zombies. Cela signifie que les attaques organisées par les programmes malveillants pour appareil nomade ont atteint un tout autre niveau. Menaces pour appareils nomades dans la nature Revenons un instant sur les principaux programmes malveillants des différentes plates-formes qui ont été découverts au cours de la période allant du mois d'août 2009 à décembre 2010. Symbian Worm.SymbOS.Yxe Au début de la deuxième moitié de 2009, nous avons détecté la quatrième modification du ver Worm.SymbOS.Yxe. Pour rappel, Yxe, qui a fait son apparition au début de l'année 2009, fut le premier programme malveillant pour téléphone nomade tournant sous Symbian S60 3 rd edition. Outre la propagation via SMS et la collecte de certaines informations relatives au téléphone et à son propriétaire, ce programme malveillant possédait une caractéristique supplémentaire : toutes ses modifications possédaient la signature numérique de Symbian et pouvaient fonctionner pratiquement sur tous les smartphones tournant sous Symbian S60 3 rd edition. La quatrième modification du ver, Yxe.d, envoyait non seulement des SMS, mais se mit également à actualiser les modèles de SMS en se connectant à un serveur distant. Yxe.d a démontré que les programmes malveillants pour appareils nomades peuvent travailler avec les serveurs distants d'individus malintentionnés et obtenir de ceux-ci des instructions et, malheureusement, avec un certain degré de réussite. Qu est ce que cela signifie? Qu'il est désormais possible de créer des réseaux de zombies d'appareils nomades! En réalité, le premier programme malveillant pour appareils nomades capable de recevoir des instructions d'un individu malintentionné (Backdoor.WinCE.Brador) fit son apparition en août 2004. Toutefois, il ne constituait pas vraiment un danger car les smartphones ne pouvaient pas à l'époque être, en permanence, connectés à Internet. De nos jours, au vu de la diffusion des technologies de connexion sans fil et la baisse des tarifs d Internet mobile, la probabilité de voir apparaître des programmes malveillants capables d'interagir d'une manière ou d'une autre avec un serveur distant a considérablement augmenté. Au début de l année 2010, une certaine accalmie a été observé après l'apparition de la version.d. Les auteurs de virus chinois, à l'origine de Worm.SymbOS.Yxe, ont produit une version mise à jour du programme malveillant et les modifications introduites par rapport aux versions antérieures étaient que : - Le ver tentait d'établir une connexion avec un site de réseau social chinois ; - Le ver était capable de télécharger des fichiers. Les SMS envoyés par le ver afin de se propager invitaient le destinataire à en savoir plus sur la vie privée de la célèbre actrice chinoise Jang Zhi. Quand l'utilisateur cliquait sur lien, utilisant ainsi sa connexion Internet mobile, il était invité à télécharger et à installer le fichier

LanPackage.sisx. Les tentatives d'ouverture de cette page dans un navigateur traditionnel sur un ordinateur se soldaient par l'ouverture d'une page «erreur 404» (Voir image «Erreur Status 404»). En d'autres termes, le serveur distant vérifiait User-Agent (il contient les informations relatives à l'application, au système d'exploitation, à la langue) et en cas d'utilisation d'une connexion Internet traditionnelle, il renvoyait un message d'erreur. Le téléchargement du fichier au moment de la découverte du ver fonctionnait, mais aucun fichier à télécharger ne se trouvait sur le serveur distant des individus malintentionnés. Trojan-SMS.SymbOS.Lopsoy Jusqu'à l'automne 2009, Worm.SymbOS.Yxe fut le seul programme malveillant de sa catégorie pour les appareils fonctionnant sous Symbian S60 3 rd edition. En octobre 2009, nous avons découvert un nouveau cheval de Troie pour smartphones, Trojan-SMS.SymbOS.Lopsoy, tournant sous Symbian S60 3 rd édition et qui possédait également une signature numérique de Symbian. Le cheval de Troie se trouvait sur divers sites d'hébergement de fichiers sous la forme d applications et jeux pour appareils nomades, notamment des applications proposant du contenu érotique. Une fois sur le smartphone de l'utilisateur, le programme malveillant : 1. Utilisait le lancement automatique ; 2. Se dissimulait dans la liste des processus ; 3. Recherchait des points d'accès à Internet pour se connecter au serveur distant de l'individu malintentionné ; 4. Une fois connecté au serveur, il recevait un numéro surfacturé auquel il devait envoyer un SMS ainsi que le texte du message. À la différence des chevaux de Troie primitifs pour J2ME, Lopsoy offre bien plus de fonctionnalités aux individus malintentionnés. Le téléphone, une fois infecté par ce programme malveillant, se connecte en permanence au serveur distant et l'individu malintentionné peut à son tour modifier en permanence le texte des SMS et le numéro auquel le message est envoyé. Cela nous donne donc un programme malveillant supplémentaire créé pour Symbian S60 3 rd edition capable de se connecter à un serveur distant et de recevoir des paramètres de fonctionnement. Trojan-Spy.SymbOS.Zbot Vers la fin du mois de septembre, les experts de la société S21Sec ont découvert un programme malveillant capable de transférer les SMS entrants vers un numéro défini. A priori, cela n'a pas beaucoup d'intérêt. Néanmoins, ces experts ont d abord découvert que ce programme malveillant est lié au célèbre Zbot (ZeuS), et qu ensuite les individus malintentionnés n'étaient intéressés que par les SMS contenant les données d'identification à un service de transactions bancaires en ligne. Nous avons détecté ce programme malveillant sous le nom Trojan- Spy.SymbOS.Zbot.a. L'attaque se déroule de la manière suivante : 1. Zbot vole les données d'accès au service de transactions bancaires en ligne sur l'ordinateur infecté. 2. Après avoir obtenu le numéro de téléphone de la victime, l'individu malintentionné envoie un SMS contenant un lien vers l'application malveillante pour le smartphone.

3. Si l'utilisateur clique sur le lien malveillant, il est invité à installer une application. Il peut l'installer (autrement dit, exécuter le cheval de Troie) ou il peut refuser l'installation. 4. L'individu malintentionné tente de réaliser une transaction bancaire en ligne qui requiert une confirmation par SMS. 5. La banque envoie un SMS avec le code d'authentification au numéro de téléphone de la victime. 6. Le programme malveillant transfert ce message vers le téléphone de l'individu malintentionné. 7. L'individu malintentionné obtient le code d'authentification et termine la transaction bancaire en ligne. Ce programme malveillant possède également un certificat légitime. La sophistication du modus operandi indique que les intérêts des individus malintentionnés sont chaque jour plus nombreux. Avant la découverte de ce programme malveillant, l'authentification par SMS était une des méthodes les plus sûres pour garantir la sécurité des transactions bancaires en ligne. Les individus malintentionnés peuvent désormais déjouer cette mesure de protection. Windows Mobile Aujourd'hui, Windows Mobile est en recul pour plusieurs raisons : 1. Microsoft lance un nouveau système d'exploitation pour smartphones, à savoir Windows Phone et a arrêté le développement de Windows Mobile ; 2. Le nombre de nouveaux smartphones dotés de Windows Mobile diminue ; 3. Ce système d'exploitation n'a plus été mis à jour depuis longtemps. Toutefois, le recul de la popularité de ce système d'exploitation n'a pas eu d'effet sur l'activité des auteurs de virus. Trojan-SMS.WinCE.Sejweek Un nouveau cheval de Troie SMS pour Windows Mobile détecté sous le nom Trojan- SMS.WinCE.Sejweek est apparu à la fin de l'année 2009. Il ressemble en de nombreux points à Lopsoy, décrit ci-dessus, mais il existe toutefois des différences. Tout d'abord, à l'instar de Lospoy, Sejweek tente d'établir une connexion avec un serveur distant. Quand la connexion est établie, le cheval de Troie télécharge un fichier XML qui ressemble à ceci (voir tableau «Fichier XML Sejweek téléchargé». Comme on peut le voir, l'information entre certaines balises est cryptée. Le code du cheval de Troie renferme le tableau suivant pour le décryptage (voir tableau «Tableau utilisé pour le décryptage». Si l'on déchiffre les informations des balises <phone> et <interval>, on obtient ceci (voir tableau «Fichier XML décrypté»). Comme on peut le voir sur la base du contenu des balises <phone> et <interval>, le programme malveillant envoie depuis le téléphone infecté des SMS payants vers le numéro 1151 toutes les 11 minutes. Si l'on tient compte du fait que le cheval de Troie actualise régulièrement le fichier XML, c'est-à-dire qu'il télécharge de nouvelles données pour l'envoie de SMS, on comprend facilement qu'il puisse vider le compte d'un téléphone mobile infecté.

Il ne s'agit toutefois pas du seul cas de rentabilisation d'un programme malveillant sur cette plate-forme. Trojan.WinCE.Terdial C'est en 2010 que l'on détecte les premiers chevaux de Troie qui appellent un numéro payant. À la fin du mois de mars, un nouveau jeu intitulé «3D Antiterrorist» a fait son apparition sur divers sites internationaux consacrés aux logiciels gratuits pour smartphones sous Windows Mobile et permettant de les télécharger. L'archive de plusieurs mégaoctets contenait, en plus du jeu en lui-même, un fichier baptisé reg.exe qui était en réalité le cheval de Troie Trojan.WinCE.Terdial.a. qui appelait des numéros de téléphone internationaux payants. Une fois que le fichier santiterrorist3d.cab était exécuté, le jeu était installé dans le répertoire Program Files et le fichier malveillant reg.exe de 5 632 octets était copié dans le répertorie système sous le nom smart32.exe. L'analyse détaillée du code de ce programme malveillant a mis en évidence les éléments suivants : Le programme malveillant avait été créé par un russophone ; Le programme malveillant s'exécutait via la fonction CeRunAppAtTime ; Après la première exécution du cheval de Troie, six numéros surfacturés étaient appelés par mois. +882******7 - International Networks +1767******1 - République dominicaine +882*******4 - International Networks +252*******1 - Somalie +239******1 - San Tomé et Principé +881********3 - Système international mobile par satellite. L'auteur de ce cheval de Troie utilisait une application légitime (le jeu Antiterroriste 3D, développé par la société chinoise Huike) et plutôt populaire pour diffuser son œuvre. Toute le mode sait que de nombreux utilisateurs installent des applications gratuites ou compromises depuis diverses ressources en ligne. C'est précisément sur ces ressources que les individus malintentionnés placent les programmes illicites sous la forme de programmes légitimes. C'est ce qui s'est produit dans ce cas et il est à craindre que ce scénario se répète de nombreuses fois à l'avenir. iphone Dans la conclusion de l'article «Virologie mobile, 3e partie», nous évoquions le fait que dans le cadre de l'iphone, une infection était possible uniquement lorsque l'utilisateur jailbreakait son téléphone et qu'il y installait des applications en provenance de sources non officielles. Cette théorie a été confirmée. Net-Worm.IphoneOS.Ike Le premier ver pour l'iphone, baptisé Net-Worm.IphoneOS.Ike.a, a été détecté au début du mois de novembre 2010. Ce ver représentait une menace pour les utilisateurs qui avaient jailbreaké leur iphone ou ipod Touch et qui n'avaient pas modifié le mot de passe défini par défaut SSH. Le ver se multipliait en exploitant cette «particularité» du smartphone. Il ne provoquait pas de dégâts sérieux pour l'utilisateur. Certes Ike remplaçait le fond d'écran du

smartphone de l'utilisateur par une photo de Rick Asley, chanteur des années 80 mais il ne manifestait aucune autre activité. Toutefois, un nouveau ver pour l'iphone (Net-Worm.IphoneOS.Ike.b) fit son apparition deux semaines plus tard. Ce ver était chargé de voler les données de l'utilisateur et permettait aux individus malintentionnés d'administrer le smartphone à distance. Cette modification attaquait également les utilisateurs d'iphone et d'ipod Touch jailbreakés sur lesquels le mot de passe défini par défaut SSH n'était pas modifié. Les clients de la banque hollandaise ING Direct furent pris pour cible. Quand ils essayaient d'accéder au site de la banque depuis un smartphone infecté par le ver, le programme malveillant redirigeait l'utilisateur sur un site de phishing. Si l'utilisateur saisissait ses données sur la page de phishing, elles étaient volées par les individus malintentionnés. Donc, Ike est un programme malveillant pour iphone ou ipod Touch jailbreakés qui permet aux individus malveillants de gagner de l'argent. Android La plate-forme Android, qui a réussi à s'emparer d'une partie non négligeable du marché, n'intéressait pas beaucoup les auteurs de virus. Cet état de fait a changé en août 2010 lors de la découverte du premier programme malveillant sur ce système d'exploitation. Depuis, nous avons non seulement détecté de nouvelles modifications du premier programme malveillant, mais également d'autres programmes malveillants pour Android qui, à l'heure actuelle, sont regroupés en sept familles. Trojan-SMS.AndroidOS.FakePlayer Comme nous l'avons déjà écrit ci-dessus, - Trojan-SMS.AndroidOS.FakePlayer, le premier programme malveillant pour Android, fut découvert en août 2010. Malheureusement, nous ne pouvons rien dévoiler de concret sur le mode de diffusion de la première modification de ce cheval de Troie. Nous pouvons simplement affirmer sans crainte que FakePlayer ne se propageait pas via le magasin officiel d'applications pour Android. Dès que le smartphone de l'utilisateur était infecté par le programme malveillant, le cheval de Troie envoyait, directement après son exécution, trois SMS vers deux numéros payants russes. La deuxième modification de Trojan-SMS.AndroidOS.FakePlayer est apparue au début du mois de septembre 2010, soit un mois environ après la première version. La fonctionnalité principale du programme malveillant n'a pratiquement pas été changée. La découverte de la deuxième version de FakePlayer a permis de mieux comprendre certains aspects de sa diffusion. Tout le monde sait que les auteurs de virus exploitent l'intérêt d'une partie des internautes pour le contenu pornographique afin de diffuser leurs programmes malveillants. Et pour FakePlayer, la pornographie a également joué un rôle important. De nos jours sur l'internet russophone, les propriétaires de sites pornographiques payants offrent des modes de paiement rapides pour l'accès au contenu. L'utilisateur doit envoyer un code déterminé par SMS à un numéro surfacturé et il reçoit quelques instants après un code d'accès à saisir sur la page d'accueil du site. C'est précisément ce message de paiement à l'accès au contenu pornographique que Trojan- SMS.AndroidOS.FakePlayer envoie. Il ne se contente pas d'envoyer un message, mais quatre messages.

Comment le cheval de Troie se retrouve-t-il alors sur le téléphone portable? Il est clair que de nombreux utilisateurs arrivent sur des sites à contenu pornographique via les moteurs de recherche. Les propriétaires de sites pornographiques qui utilisent Trojan- SMS.AndroidOS.FakePlayer parviennent, grâce au référencement, à placer leurs liens dans les premiers résultats de recherche sur les termes «pornographiques» les plus répandus. Si l'utilisateur se trouve sur son ordinateur, les événements se déroulent plus ou moins de la manière suivante : Utilisateur => moteur de recherche => recherche «pornographique» => site pornographique => envoi d'un SMS => réception du code d'accès =>consultation du contenu du site. Que se passe-t-il lorsque l'utilisateur utilise un téléphone portable, par exemple, un smartphone tournant sous Android? Les trois premières étapes sont identiques. Les choses deviennent plus intéressantes par la suite. Une fois que l'utilisateur a cliqué sur un des liens «poussés» par le propriétaire du site pornographique dans les résultats de la recherche, la requête HTTP, contenant la ligne User- Agent (contient des informations relatives à l'application, au système d'exploitation et à la langue), est envoyée au serveur distant des individus malintentionnés. Les infos User-Agent sont vérifiées sur le serveur distant. Si l'utilisateur est arrivé sur le site à l'aide d'un navigateur de bureau, le site pornographique normal s'affiche. Si l'utilisateur consulte le site à l'aide d'un navigateur pour appareil nomade tournant sous Android, il est immédiatement invité à télécharger le fichier pornoplayer.apk c est-à-dire Trojan- SMS.AndroidOS.FakePlayer. La séquence d'événements est donc la suivante : Utilisateur => moteur de recherche => requête «pornographique» => site pornographique => invitation à télécharger pornoplayer.apk => installation du programme malveillant => exécution du cheval de Troie => envoi par le cheval de Troie de quatre SMS vers des numéros payants => une partie de l'argent payé pour l'envoi des SMS est destinée au propriétaire du site pornographique. Le propriétaire du site pornographique obtient ainsi illégalement un revenu complémentaire. Lors de l'analyse des sites qui diffusent FakePlayer, nous avons observé un élément intéressant : les individus malintentionnés ciblent les victimes par géolocalisation. Ils filtrent les visiteurs et «offrent» le fichier pornoplayer.apk uniquement si l'adresse IP de l'internaute est russe. J2ME Depuis la publication de «Virologie mobile, 3e partie», la popularité de la plate-forme J2ME a augmenté chez les auteurs de virus. L'écrasante majorité des programmes malveillants pour la plate-forme J2ME sont des chevaux de Troie SMS, mais aucune modification marquante n'a été observée dans leur fonctionnalité et leur mode de propagation. Par conséquent, nous n'allons pas aborder les chevaux de Troie SMS dans ce chapitre, mais plutôt un exemple de programme malveillant pour JS2ME qui essaie de voler les données d'identification des utilisateurs à un réseau social russe très populaire. Trojan-PSW.J2ME.Vkonpass.a Un programme malveillant cherchant à voler les données d'accès des utilisateurs du réseau social «Vkontakte», réseau populaire en Russie, a été découvert en mai 2010. Il a été

développé pour la plate-forme J2ME. Jusqu'à l'apparition de ce programme, nous avions surtout rencontré des chevaux de Troie SMS pour cette plate-forme et jamais de programmes malveillants tentant de voler les données d'accès à un site de réseau social. Le programme malveillant, que nous avons nommé Trojan-PSW.J2ME.Vkonpass.a, se dissimulait sous les traits d'une application pour accéder au réseau social Vkontakte. Une fois que le cheval de Troie est exécuté, une fenêtre s'ouvre sur l'appareil nomade. L'utilisateur doit absolument y saisir ses données d'accès au réseau social afin de pouvoir accéder à sa page. Dès que l'utilisateur saisit ses données, le programme malveillant tente de les envoyer via le protocole SMTP à la boîte aux lettres de l'individu malintentionné. En cas d'échec de la tentative d'envoi des données, le message «Erreur de connexion» s'affiche. Le message «Erreur 401» s'affiche quant à lui en cas de réussite. Que nous réserve l'avenir? Les tendances de développement de programmes malveillants pour appareils nomades au cours de l'année à venir seront les suivantes : 1. Chevaux de Troie SMS. Rien ne laisse supposer pour l'instant que le nombre de chevaux de Troie SMS va diminuer. La législation dans certains pays est toujours imparfaite, ce qui permet aux individus malintentionnés d'exploiter les numéros payants dans l'anonymat. 2. Augmentation des menaces pour Android. La popularité de cette plate-forme augmente chaque jour et cela a bien entendu un effet sur l'activité des individus malintentionnés. 3. Augmentation du nombre de vulnérabilités détectées dans diverses plates-formes pour appareil nomades et, éventuellement, du nombre d'attaques réalisées à l'aide de cellesci. À ce jour, nous n'avons enregistré aucune attaque importante exploitant une vulnérabilité critique. Parmi ces vulnérabilités, il y a une vulnérabilité dans ios, découverte le 4 août (mise à jour diffusée le 11 août), qui pourrait permettre l'exécution d'un code aléatoire dans le système. En effet si l'utilisateur essayait d'ouvrir un fichier PDF créé spécialement, il pouvait entraîner un débordement de pile et l'exécution d'un code aléatoire dans le système avec des privilèges supérieurs. Cette vulnérabilité a-t-elle été exploitée dans des attaques contre des smartphones? Nous ne disposons d'aucune information qui pourrait confirmer cette théorie. On sait par contre que cette vulnérabilité a été avant tout utilisée pour pouvoir jailbreaker les smartphones plus facilement. 4. Augmentation du nombre de logiciels espion commerciaux. Ce type de programme permet de surveiller l'activité de tiers, notamment dans le cadre d'espionnage industriel ou pour obtenir des informations secrètes (par exemple, la correspondance). Il ne faut pas oublier les tablettes car ce sont les tablettes qui vont mener la danse en 2011. En 2010, Apple lançait l'ipad qui utilisait le même système d'exploitation que l'iphone. Des tablettes tournant sous Android sont prévues (plusieurs fabricants ont déjà réalisés des déclarations dans ce sens) et RIM va bientôt commercialiser sa tablette sous Blackberry. Ces périphériques peuvent offrir bien plus de possibilités que les smartphones : rédaction de document, consultation aisée d'internet, visionnage de films, jeux, etc. Cela signifie que leur popularité auprès des utilisateurs va être appréciable. Mais du point de vue des systèmes d'exploitation, tout va rester comme avant. Il s'agira en fait de versions optimisées des systèmes ios, AndroidOS, BlackberryOS, etc. avec un écran plus

grand. Par conséquent, pour le programme malveillant infecter un smartphone ou une tablette ne sera en rien différent Cependant il y a encore un «mais». En effet un smartphone et une tablette ne sont pas interchangeables pour la simple raison que la tablette n'a pas la fonction de téléphone. Il est plus que probable que l'utilisateur d'une tablette possèdera également un smartphone et que par conséquent, le nombre de cibles potentielles pour les individus malintentionnés va augmenter, ce qui se traduira par une augmentation du nombre de programmes malveillants.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back