Kaspersky Analysis Virologie mobile

Virologie mobile, 4e partie
Denis Maslenikov
Introduction
Depuis la publication de l'article « Virologie mobile, 3e partie », plusieurs événements
marquants se sont produits dans le domaine de la virologie.
D'abord, les rapports entre les différents systèmes d'exploitation pour appareils nomades ont
changé. Android est de plus en plus populaire tandis que Windows Mobile perd du terrain. Les
systèmes d'exploitation iOS et Blackberry ont également accru leur part de marché et Symbian
est toujours en recul, même s'il conserve une position dominante à l'échelon mondial.
Ensuite, la liste des plates-formes sur lesquelles des programmes malveillants ont été détectés
s'est élargie. Elle compte désormais iOS (le système d'exploitation pour iPhone/iPod
Touch/iPad) et Android. Comme nous l'avons déjà dit, les programmes malveillants pour iOS
n’infectent uniquement que les téléphones jailbreakés.
De plus, les programmes malveillants ainsi que leurs attaques sont devenues plus complexes.
Enfin, l'écrasante majorité des programmes malveillants que nous avons détectés au cours des
12 derniers mois cherche d'une manière ou d'une autre à dérober de l'argent aux utilisateurs.
Avant de passer à l'analyse proprement dite, voici quelques statistiques.
Familles et modifications : statistiques et changements
La forte popularité des smartphones ainsi que la hausse du nombre de nouveaux services ont
entraîné une augmentation du nombre de programmes malveillants. Ces programmes sont
utilisés par des individus malintentionnés qui tentent Mi-août 2009, nous avions découvert 106
nouvelles familles et 514 nouvelles modifications de programmes malveillants pour appareils
nomades. À la fin de l'année 2010, on comptait 153 familles et plus de 1 000 modifications !
Autrement dit, en 2010, nous avons noté une hausse de 65,12 % de nouveaux programmes
malveillants pour appareils nomades par rapport à 2009, soit près du double en 17 mois.
À l'issue de l'année 2010, la situation était la suivante (voir tableau « Nombre de familles et de
modifications par plateforme).
Ces données peuvent être représentées sous la forme d'un diagramme (voir diagramme
« Répartition des modifications des objets détectés par plate-forme).
Nous constatons que les auteurs de virus ont augmenté la production de chevaux de Troie
J2ME et que le nombre de modifications de programmes malveillants J2ME a dépassé le
nombre de programmes malveillants pour Symbian. Pour rappel, les programmes malveillants
Java constituent une menace non seulement pour les utilisateurs de smartphones, mais
également pour tout utilisateur de téléphone portable traditionnel. Dans la majorité des cas,
ces programmes malveillants tentent d'envoyer un SMS vers un numéro payant.
Liste des programmes malveillants pour appareils mobiles apparus entre août 2009 et
décembre 2010 (par famille). Voir tableau « Total 46 nouvelles familles ».
Nombre de nouvelles modifications et de nouvelles familles de programmes malveillants
découvertes entre août 2009 et décembre 2010 inclus pour les différentes plates-formes. Voir
tableau « Nombre de nouvelles modifications et de nouvelles familles de programmes
malveillants »
Nouveautés
Méthodes de « rentabilisation » des programmes malveillants pour appareils
nomades
Le secteur des programmes malveillants pour appareils nomades est toujours dominé par les
programmes qui envoient des SMS vers des numéros surfacturés. L'utilisation de chevaux de
Troie SMS demeure pour les individus malintentionnés la méthode la plus simple et la plus
efficace pour gagner de l'argent La raison est assez simple : le moindre appareil nomade, qu'il
s'agisse d'un smartphone ou d'un téléphone traditionnel, est directement lié au compte mobile
de l’utilisateur et donc à son argent. Et c'est cet « accès direct » que les individus
malintentionnés exploitent activement.
Un des ces chevaux de Troie SMS a même été adopté par les propriétaires de sites
pornographiques. Les smartphones infectés par Trojan-SMS.AndroidOS.FakePlayer envoyaient
ainsi quatre SMS à un numéro utilisé afin de payer l'accès à des contenus pornographiques.
Cependant, depuis 2010, l'envoi de SMS payant n'est plus la seule source de revenus illicites
pour les auteurs de virus. En effet ces derniers développent désormais des programmes
malveillants pour plusieurs plates-formes nomades.
En 2010, pour la première fois en 6 ans d'histoire de programmes malveillants pour appareils
nomades, nous avons détecté un cheval de Troie (Trojan.WinCE.Terdial.a), qui appelle des
numéros payant internationaux.
Un ver pour iPhone (Net-Worm.IphoneOS.Ike.b) a été utilisé par des individus malintentionnés
pour réaliser des attaques de phishing ciblant les clients d'une banque des Pays-Bas. Ainsi
lorsque le client tentait d'accéder au site de la banque depuis le smartphone infecté par le ver,
il était redirigé vers un site de phishing.
Nous avons également observé un programme malveillant (Trojan-Spy.SymbOS.Zbot.a) que les
individus malintentionnés ont programmé afin qu'il contourne l'authentification par SMS des
utilisateurs des systèmes de transactions bancaires en ligne. Ce cheval de Troie mobile a été
utilisé dans une attaque complexe avec un autre programme malveillant aussi dangereux que
Zbot (ZeuS).
Ces programmes malveillants et d'autres sont présentés en détails ci-dessous.
Technologies
Depuis la publication du dernier rapport aucune nouvelle technologie n'a fait son apparition
parmi les programmes malveillants. Cependant, les nouveaux programmes malveillants
exploitent activement des technologies connues dans des combinaisons plus dangereuses.
Ainsi, les programmes malveillants interagissent de plus en plus avec les serveurs distants des
individus malintentionnés. Désormais, ces individus malintentionnés peuvent :
Obtenir facilement les données des utilisateurs ;
Actualiser les paramètres de fonctionnement du programme malveillant ;
Regrouper les appareils nomades infectés au sein de réseaux de zombies.
Cela signifie que les attaques organisées par les programmes malveillants pour appareil
nomade ont atteint un tout autre niveau.
Menaces pour appareils nomades dans la nature
Revenons un instant sur les principaux programmes malveillants des différentes plates-formes
qui ont été découverts au cours de la période allant du mois d'août 2009 à décembre 2010.
Symbian
Worm.SymbOS.Yxe
Au début de la deuxième moitié de 2009, nous avons détecté la quatrième modification du ver
Worm.SymbOS.Yxe.
Pour rappel, Yxe, qui a fait son apparition au début de l'année 2009, fut le premier programme
malveillant pour téléphone nomade tournant sous Symbian S60 3 rd edition. Outre la
propagation via SMS et la collecte de certaines informations relatives au téléphone et à son
propriétaire, ce programme malveillant possédait une caractéristique supplémentaire : toutes
ses modifications possédaient la signature numérique de Symbian et pouvaient fonctionner
pratiquement sur tous les smartphones tournant sous Symbian S60 3rd edition.
La quatrième modification du ver, Yxe.d, envoyait non seulement des SMS, mais se mit
également à actualiser les modèles de SMS en se connectant à un serveur distant. Yxe.d a
démontré que les programmes malveillants pour appareils nomades peuvent travailler avec les
serveurs distants d'individus malintentionnés et obtenir de ceux-ci des instructions et,
malheureusement, avec un certain degré de réussite. Qu’est ce que cela signifie? Qu'il est
désormais possible de créer des réseaux de zombies d'appareils nomades !
En réalité, le premier programme malveillant pour appareils nomades capable de recevoir des
instructions d'un individu malintentionné (Backdoor.WinCE.Brador) fit son apparition en août
2004. Toutefois, il ne constituait pas vraiment un danger car les smartphones ne pouvaient pas
à l'époque être, en permanence, connectés à Internet. De nos jours, au vu de la diffusion des
technologies de connexion sans fil et la baisse des tarifs d’Internet mobile, la probabilité de voir
apparaître des programmes malveillants capables d'interagir d'une manière ou d'une autre
avec un serveur distant a considérablement augmenté.
Au début de l’année 2010, une certaine accalmie a été observé après l'apparition de la version
.d. Les auteurs de virus chinois, à l'origine de Worm.SymbOS.Yxe, ont produit une version mise
à jour du programme malveillant et les modifications introduites par rapport aux versions
antérieures étaient que :
- Le ver tentait d'établir une connexion avec un site de réseau social chinois ;
- Le ver était capable de télécharger des fichiers.
Les SMS envoyés par le ver afin de se propager invitaient le destinataire à en savoir plus sur la
vie privée de la célèbre actrice chinoise Jang Zhi. Quand l'utilisateur cliquait sur lien, utilisant
ainsi sa connexion Internet mobile, il était invité à télécharger et à installer le fichier
LanPackage.sisx. Les tentatives d'ouverture de cette page dans un navigateur traditionnel sur
un ordinateur se soldaient par l'ouverture d'une page « erreur 404 » (Voir image « Erreur Status
404 »).
En d'autres termes, le serveur distant vérifiait User-Agent (il contient les informations relatives
à l'application, au système d'exploitation, à la langue) et en cas d'utilisation d'une connexion
Internet traditionnelle, il renvoyait un message d'erreur.
Le téléchargement du fichier au moment de la découverte du ver fonctionnait, mais aucun
fichier à télécharger ne se trouvait sur le serveur distant des individus malintentionnés.
Trojan-SMS.SymbOS.Lopsoy
Jusqu'à l'automne 2009, Worm.SymbOS.Yxe fut le seul programme malveillant de sa catégorie
pour les appareils fonctionnant sous Symbian S60 3rd edition. En octobre 2009, nous avons
découvert un nouveau cheval de Troie pour smartphones, Trojan-SMS.SymbOS.Lopsoy,
tournant sous Symbian S60 3rd édition et qui possédait également une signature numérique de
Symbian.
Le cheval de Troie se trouvait sur divers sites d'hébergement de fichiers sous la forme
d’applications et jeux pour appareils nomades, notamment des applications proposant du
contenu érotique. Une fois sur le smartphone de l'utilisateur, le programme malveillant :
1.
Utilisait le lancement automatique ;
2.
Se dissimulait dans la liste des processus ;
3.
Recherchait des points d'accès à Internet pour se connecter au serveur distant de
l'individu malintentionné ;
4.
Une fois connecté au serveur, il recevait un numéro surfacturé auquel il devait envoyer
un SMS ainsi que le texte du message.
À la différence des chevaux de Troie primitifs pour J2ME, Lopsoy offre bien plus de
fonctionnalités aux individus malintentionnés. Le téléphone, une fois infecté par ce programme
malveillant, se connecte en permanence au serveur distant et l'individu malintentionné peut à
son tour modifier en permanence le texte des SMS et le numéro auquel le message est envoyé.
Cela nous donne donc un programme malveillant supplémentaire créé pour Symbian S60 3rd
edition capable de se connecter à un serveur distant et de recevoir des paramètres de
fonctionnement.
Trojan-Spy.SymbOS.Zbot
Vers la fin du mois de septembre, les experts de la société S21Sec ont découvert un programme
malveillant capable de transférer les SMS entrants vers un numéro défini. A priori, cela n'a pas
beaucoup d'intérêt. Néanmoins, ces experts ont d’abord découvert que ce programme
malveillant est lié au célèbre Zbot (ZeuS), et qu’ensuite les individus malintentionnés n'étaient
intéressés que par les SMS contenant les données d'identification à un service de transactions
bancaires en ligne. Nous avons détecté ce programme malveillant sous le nom TrojanSpy.SymbOS.Zbot.a.
L'attaque se déroule de la manière suivante :
1. Zbot vole les données d'accès au service de transactions bancaires en ligne sur
l'ordinateur infecté.
2. Après avoir obtenu le numéro de téléphone de la victime, l'individu malintentionné
envoie un SMS contenant un lien vers l'application malveillante pour le smartphone.
3. Si l'utilisateur clique sur le lien malveillant, il est invité à installer une application. Il peut
l'installer (autrement dit, exécuter le cheval de Troie) ou il peut refuser l'installation.
4. L'individu malintentionné tente de réaliser une transaction bancaire en ligne qui
requiert une confirmation par SMS.
5. La banque envoie un SMS avec le code d'authentification au numéro de téléphone de la
victime.
6. Le programme malveillant transfert ce message vers le téléphone de l'individu
malintentionné.
7. L'individu malintentionné obtient le code d'authentification et termine la transaction
bancaire en ligne.
Ce programme malveillant possède également un certificat légitime.
La sophistication du modus operandi indique que les intérêts des individus malintentionnés
sont chaque jour plus nombreux. Avant la découverte de ce programme malveillant,
l'authentification par SMS était une des méthodes les plus sûres pour garantir la sécurité des
transactions bancaires en ligne. Les individus malintentionnés peuvent désormais déjouer cette
mesure de protection.
Windows Mobile
Aujourd'hui, Windows Mobile est en recul pour plusieurs raisons :
1. Microsoft lance un nouveau système d'exploitation pour smartphones, à savoir
Windows Phone et a arrêté le développement de Windows Mobile ;
2. Le nombre de nouveaux smartphones dotés de Windows Mobile diminue ;
3. Ce système d'exploitation n'a plus été mis à jour depuis longtemps.
Toutefois, le recul de la popularité de ce système d'exploitation n'a pas eu d'effet sur l'activité
des auteurs de virus.
Trojan-SMS.WinCE.Sejweek
Un nouveau cheval de Troie SMS pour Windows Mobile détecté sous le nom TrojanSMS.WinCE.Sejweek est apparu à la fin de l'année 2009. Il ressemble en de nombreux points à
Lopsoy, décrit ci-dessus, mais il existe toutefois des différences.
Tout d'abord, à l'instar de Lospoy, Sejweek tente d'établir une connexion avec un serveur
distant. Quand la connexion est établie, le cheval de Troie télécharge un fichier XML qui
ressemble à ceci (voir tableau « Fichier XML Sejweek téléchargé ».
Comme on peut le voir, l'information entre certaines balises est cryptée. Le code du cheval de
Troie renferme le tableau suivant pour le décryptage (voir tableau « Tableau utilisé pour le
décryptage ».
Si l'on déchiffre les informations des balises <phone> et <interval>, on obtient ceci (voir tableau
« Fichier XML décrypté »).
Comme on peut le voir sur la base du contenu des balises <phone> et <interval>, le programme
malveillant envoie depuis le téléphone infecté des SMS payants vers le numéro 1151 toutes les
11 minutes. Si l'on tient compte du fait que le cheval de Troie actualise régulièrement le fichier
XML, c'est-à-dire qu'il télécharge de nouvelles données pour l'envoie de SMS, on comprend
facilement qu'il puisse vider le compte d'un téléphone mobile infecté.
Il ne s'agit toutefois pas du seul cas de rentabilisation d'un programme malveillant sur cette
plate-forme.
Trojan.WinCE.Terdial
C'est en 2010 que l'on détecte les premiers chevaux de Troie qui appellent un numéro payant.
À la fin du mois de mars, un nouveau jeu intitulé « 3D Antiterrorist » a fait son apparition sur
divers sites internationaux consacrés aux logiciels gratuits pour smartphones sous Windows
Mobile et permettant de les télécharger. L'archive de plusieurs mégaoctets contenait, en plus
du jeu en lui-même, un fichier baptisé reg.exe qui était en réalité le cheval de Troie
Trojan.WinCE.Terdial.a. qui appelait des numéros de téléphone internationaux payants.
Une fois que le fichier santiterrorist3d.cab était exécuté, le jeu était installé dans le répertoire
Program Files et le fichier malveillant reg.exe de 5 632 octets était copié dans le répertorie
système sous le nom smart32.exe.
L'analyse détaillée du code de ce programme malveillant a mis en évidence les éléments
suivants :
Le programme malveillant avait été créé par un russophone ;
Le programme malveillant s'exécutait via la fonction CeRunAppAtTime ;
Après la première exécution du cheval de Troie, six numéros surfacturés étaient appelés
par mois.
+882******7 - International Networks
+1767******1 - République dominicaine
+882*******4 - International Networks
+252*******1 - Somalie
+239******1 - San Tomé et Principé
+881********3 - Système international mobile par satellite.
L'auteur de ce cheval de Troie utilisait une application légitime (le jeu Antiterroriste 3D,
développé par la société chinoise Huike) et plutôt populaire pour diffuser son œuvre. Toute le
mode sait que de nombreux utilisateurs installent des applications gratuites ou compromises
depuis diverses ressources en ligne. C'est précisément sur ces ressources que les individus
malintentionnés placent les programmes illicites sous la forme de programmes légitimes. C'est
ce qui s'est produit dans ce cas et il est à craindre que ce scénario se répète de nombreuses fois
à l'avenir.
iPhone
Dans la conclusion de l'article « Virologie mobile, 3e partie », nous évoquions le fait que dans le
cadre de l'iPhone, une infection était possible uniquement lorsque l'utilisateur jailbreakait son
téléphone et qu'il y installait des applications en provenance de sources non officielles. Cette
théorie a été confirmée.
Net-Worm.IphoneOS.Ike
Le premier ver pour l'iPhone, baptisé Net-Worm.IphoneOS.Ike.a, a été détecté au début du
mois de novembre 2010. Ce ver représentait une menace pour les utilisateurs qui avaient
jailbreaké leur iPhone ou iPod Touch et qui n'avaient pas modifié le mot de passe défini par
défaut SSH. Le ver se multipliait en exploitant cette « particularité » du smartphone. Il ne
provoquait pas de dégâts sérieux pour l'utilisateur. Certes Ike remplaçait le fond d'écran du
smartphone de l'utilisateur par une photo de Rick Asley, chanteur des années 80 mais il ne
manifestait aucune autre activité.
Toutefois, un nouveau ver pour l'iPhone (Net-Worm.IphoneOS.Ike.b) fit son apparition deux
semaines plus tard. Ce ver était chargé de voler les données de l'utilisateur et permettait aux
individus malintentionnés d'administrer le smartphone à distance. Cette modification attaquait
également les utilisateurs d'iPhone et d'iPod Touch jailbreakés sur lesquels le mot de passe
défini par défaut SSH n'était pas modifié.
Les clients de la banque hollandaise ING Direct furent pris pour cible. Quand ils essayaient
d'accéder au site de la banque depuis un smartphone infecté par le ver, le programme
malveillant redirigeait l'utilisateur sur un site de phishing. Si l'utilisateur saisissait ses données
sur la page de phishing, elles étaient volées par les individus malintentionnés.
Donc, Ike est un programme malveillant pour iPhone ou iPod Touch jailbreakés qui permet aux
individus malveillants de gagner de l'argent.
Android
La plate-forme Android, qui a réussi à s'emparer d'une partie non négligeable du marché,
n'intéressait pas beaucoup les auteurs de virus. Cet état de fait a changé en août 2010 lors de la
découverte du premier programme malveillant sur ce système d'exploitation. Depuis, nous
avons non seulement détecté de nouvelles modifications du premier programme malveillant,
mais également d'autres programmes malveillants pour Android qui, à l'heure actuelle, sont
regroupés en sept familles.
Trojan-SMS.AndroidOS.FakePlayer
Comme nous l'avons déjà écrit ci-dessus, - Trojan-SMS.AndroidOS.FakePlayer, le premier
programme malveillant pour Android, fut découvert en août 2010.
Malheureusement, nous ne pouvons rien dévoiler de concret sur le mode de diffusion de la
première modification de ce cheval de Troie. Nous pouvons simplement affirmer sans crainte
que FakePlayer ne se propageait pas via le magasin officiel d'applications pour Android.
Dès que le smartphone de l'utilisateur était infecté par le programme malveillant, le cheval de
Troie envoyait, directement après son exécution, trois SMS vers deux numéros payants russes.
La deuxième modification de Trojan-SMS.AndroidOS.FakePlayer est apparue au début du mois
de septembre 2010, soit un mois environ après la première version. La fonctionnalité principale
du programme malveillant n'a pratiquement pas été changée. La découverte de la deuxième
version de FakePlayer a permis de mieux comprendre certains aspects de sa diffusion. Tout le
monde sait que les auteurs de virus exploitent l'intérêt d'une partie des internautes pour le
contenu pornographique afin de diffuser leurs programmes malveillants. Et pour FakePlayer, la
pornographie a également joué un rôle important.
De nos jours sur l'Internet russophone, les propriétaires de sites pornographiques payants
offrent des modes de paiement rapides pour l'accès au contenu. L'utilisateur doit envoyer un
code déterminé par SMS à un numéro surfacturé et il reçoit quelques instants après un code
d'accès à saisir sur la page d'accueil du site.
C'est précisément ce message de paiement à l'accès au contenu pornographique que TrojanSMS.AndroidOS.FakePlayer envoie. Il ne se contente pas d'envoyer un message, mais quatre
messages.
Comment le cheval de Troie se retrouve-t-il alors sur le téléphone portable ?
Il est clair que de nombreux utilisateurs arrivent sur des sites à contenu pornographique via les
moteurs de recherche. Les propriétaires de sites pornographiques qui utilisent TrojanSMS.AndroidOS.FakePlayer parviennent, grâce au référencement, à placer leurs liens dans les
premiers résultats de recherche sur les termes « pornographiques » les plus répandus.
Si l'utilisateur se trouve sur son ordinateur, les événements se déroulent plus ou moins de la
manière suivante :
Utilisateur => moteur de recherche => recherche « pornographique » => site pornographique
=> envoi d'un SMS => réception du code d'accès =>consultation du contenu du site.
Que se passe-t-il lorsque l'utilisateur utilise un téléphone portable, par exemple, un
smartphone tournant sous Android ?
Les trois premières étapes sont identiques. Les choses deviennent plus intéressantes par la
suite. Une fois que l'utilisateur a cliqué sur un des liens « poussés » par le propriétaire du site
pornographique dans les résultats de la recherche, la requête HTTP, contenant la ligne UserAgent (contient des informations relatives à l'application, au système d'exploitation et à la
langue), est envoyée au serveur distant des individus malintentionnés.
Les infos User-Agent sont vérifiées sur le serveur distant. Si l'utilisateur est arrivé sur le site à
l'aide d'un navigateur de bureau, le site pornographique normal s'affiche. Si l'utilisateur
consulte le site à l'aide d'un navigateur pour appareil nomade tournant sous Android, il est
immédiatement invité à télécharger le fichier pornoplayer.apk c’est-à-dire TrojanSMS.AndroidOS.FakePlayer.
La séquence d'événements est donc la suivante :
Utilisateur => moteur de recherche => requête « pornographique » => site pornographique =>
invitation à télécharger pornoplayer.apk => installation du programme malveillant => exécution
du cheval de Troie => envoi par le cheval de Troie de quatre SMS vers des numéros payants =>
une partie de l'argent payé pour l'envoi des SMS est destinée au propriétaire du site
pornographique.
Le propriétaire du site pornographique obtient ainsi illégalement un revenu complémentaire.
Lors de l'analyse des sites qui diffusent FakePlayer, nous avons observé un élément
intéressant : les individus malintentionnés ciblent les victimes par géolocalisation. Ils filtrent les
visiteurs et « offrent » le fichier pornoplayer.apk uniquement si l'adresse IP de l'internaute est
russe.
J2ME
Depuis la publication de « Virologie mobile, 3e partie », la popularité de la plate-forme J2ME a
augmenté chez les auteurs de virus. L'écrasante majorité des programmes malveillants pour la
plate-forme J2ME sont des chevaux de Troie SMS, mais aucune modification marquante n'a été
observée dans leur fonctionnalité et leur mode de propagation. Par conséquent, nous n'allons
pas aborder les chevaux de Troie SMS dans ce chapitre, mais plutôt un exemple de programme
malveillant pour JS2ME qui essaie de voler les données d'identification des utilisateurs à un
réseau social russe très populaire.
Trojan-PSW.J2ME.Vkonpass.a
Un programme malveillant cherchant à voler les données d'accès des utilisateurs du réseau
social « Vkontakte », réseau populaire en Russie, a été découvert en mai 2010. Il a été
développé pour la plate-forme J2ME. Jusqu'à l'apparition de ce programme, nous avions
surtout rencontré des chevaux de Troie SMS pour cette plate-forme et jamais de programmes
malveillants tentant de voler les données d'accès à un site de réseau social.
Le programme malveillant, que nous avons nommé Trojan-PSW.J2ME.Vkonpass.a, se
dissimulait sous les traits d'une application pour accéder au réseau social Vkontakte. Une fois
que le cheval de Troie est exécuté, une fenêtre s'ouvre sur l'appareil nomade. L'utilisateur doit
absolument y saisir ses données d'accès au réseau social afin de pouvoir accéder à sa page.
Dès que l'utilisateur saisit ses données, le programme malveillant tente de les envoyer via le
protocole SMTP à la boîte aux lettres de l'individu malintentionné. En cas d'échec de la
tentative d'envoi des données, le message « Erreur de connexion » s'affiche. Le message
« Erreur 401 » s'affiche quant à lui en cas de réussite.
Que nous réserve l'avenir ?
Les tendances de développement de programmes malveillants pour appareils nomades au
cours de l'année à venir seront les suivantes :
1. Chevaux de Troie SMS. Rien ne laisse supposer pour l'instant que le nombre de chevaux
de Troie SMS va diminuer. La législation dans certains pays est toujours imparfaite, ce
qui permet aux individus malintentionnés d'exploiter les numéros payants dans
l'anonymat.
2. Augmentation des menaces pour Android. La popularité de cette plate-forme augmente
chaque jour et cela a bien entendu un effet sur l'activité des individus malintentionnés.
3. Augmentation du nombre de vulnérabilités détectées dans diverses plates-formes pour
appareil nomades et, éventuellement, du nombre d'attaques réalisées à l'aide de cellesci. À ce jour, nous n'avons enregistré aucune attaque importante exploitant une
vulnérabilité critique. Parmi ces vulnérabilités, il y a une vulnérabilité dans iOS,
découverte le 4 août (mise à jour diffusée le 11 août), qui pourrait permettre l'exécution
d'un code aléatoire dans le système. En effet si l'utilisateur essayait d'ouvrir un fichier
PDF créé spécialement, il pouvait entraîner un débordement de pile et l'exécution d'un
code aléatoire dans le système avec des privilèges supérieurs. Cette vulnérabilité a-t-elle
été exploitée dans des attaques contre des smartphones ? Nous ne disposons d'aucune
information qui pourrait confirmer cette théorie. On sait par contre que cette
vulnérabilité a été avant tout utilisée pour pouvoir jailbreaker les smartphones plus
facilement.
4. Augmentation du nombre de logiciels espion commerciaux. Ce type de programme
permet de surveiller l'activité de tiers, notamment dans le cadre d'espionnage industriel
ou pour obtenir des informations secrètes (par exemple, la correspondance).
Il ne faut pas oublier les tablettes car ce sont les tablettes qui vont mener la danse en 2011. En
2010, Apple lançait l'iPad qui utilisait le même système d'exploitation que l'iPhone. Des
tablettes tournant sous Android sont prévues (plusieurs fabricants ont déjà réalisés des
déclarations dans ce sens) et RIM va bientôt commercialiser sa tablette sous Blackberry.
Ces périphériques peuvent offrir bien plus de possibilités que les smartphones : rédaction de
document, consultation aisée d'Internet, visionnage de films, jeux, etc. Cela signifie que leur
popularité auprès des utilisateurs va être appréciable.
Mais du point de vue des systèmes d'exploitation, tout va rester comme avant. Il s'agira en fait
de versions optimisées des systèmes iOS, AndroidOS, BlackberryOS, etc. avec un écran plus
grand. Par conséquent, pour le programme malveillant infecter un smartphone ou une tablette
ne sera en rien différent
Cependant il y a encore un « mais ». En effet un smartphone et une tablette ne sont pas
interchangeables pour la simple raison que la tablette n'a pas la fonction de téléphone. Il est
plus que probable que l'utilisateur d'une tablette possèdera également un smartphone et que
par conséquent, le nombre de cibles potentielles pour les individus malintentionnés va
augmenter, ce qui se traduira par une augmentation du nombre de programmes malveillants.