Juin Malware Report Rapport semestriel Juin 2012

Transcription

G Data
Malware Report
Rapport semestriel
Janvier – Juin 2012
G Data SecurityLabs
G Data Malware Report 1/2012
Sommaire
Vue d’ensemble.................................................................................................................................... 2
Codes Malveillants : faits et chiffres ................................................................................................... 3
Les tops et les flops ................................................................................................................................................... 3
Catégories de malwares: Les spywares en hausse ......................................................................................... 3
Plates-formes: Windows au top ............................................................................................................................ 5
Codes malveillants : à quand le déluge sur Android ? .................................................................................. 6
Mac OS X : Le ver est-il dans la pomme ?........................................................................................................... 7
Baromètre des risques ......................................................................................................................... 8
Site Internet : Analyse sémantique et géographique...................................................................... 10
Catégorisation par thème .................................................................................................................................... 10
Localisation des sites web malveillants .......................................................................................................... 11
Banque en ligne ................................................................................................................................. 12
Codes nuisibles sur mobile ................................................................................................................ 14
Copyright © 2012 G Data Software AG
1
Vue d’ensemble
•
•
•
•
•
•
Le nombre de nouveaux types de malware a atteint les 1.381.967. Cependant, sur les six
derniers mois de 2011, la hausse n’aura été que de 3,9%.
La catégorie « spyware » a connu une hausse telle qu’elle est devenue la seconde catégorie
de malware.
Le nombre de nouveau downloader et de backdoors est aussi en hausse. Ceci indique une
mise à jour régulière des réseaux botnet.
La part des malwares sous Windows a encore augmenté et atteint les 99.8%.
25 611 nouveaux malwares sous Android ont été analysés par G Data SecurityLabs.
De nouveaux chevaux de Troie spécialisés dans la récupération des coordonnées bancaires
ont fait leur apparition. Sinowal reste toujours en tête du classement.
Évènements
•
•
•
•
Plusieurs personnes reliées aux malwares ZeuS/SpyEye et Carberp ont fait l’objet
d’enquêtes.
En mai 2012, le malware Flame a fait sensation. Après Stuxnet and Duqu, ce nouveau code
sophistiqué a remis les attaques ciblées et le cyber espionnage au centre de toutes les
attentions.
"Operation Ghost Click": le malware DNSChanger qui a infecté de nombreuses machines à
travers toute la planète a causé des problèmes de connexion à ses victimes.
La messagerie instantanée « WhatsApp »pour les smartphones a fait la une d’une bien
mauvaise manière puisqu’il s’est avéré que toutes les conversations « whatsapp » passées
sur une connexion wifi pouvaient être enregistrées.
Perspectives pour le second semestre 2012
•
•
•
•
Le nombre de nouveaux types de malware ne devrait pas augmenter significativement.
Les nouveaux chevaux de Troie bancaires risquent de se complexifier encore plus.
Les malwares sous Android vont devenir plus sophistiqués et leur nombre risque
d’augmenter.
L’appât du gain devrait pousser les auteurs de malware à adapter leurs créations pour la
plateforme Mac OS.
2
Codes malveillants : faits et chiffres
Les tops et les flops
Le nombre de malwares n’a cessé de s’accroitre depuis des années. C’est aussi le cas sur ce premier
semestre 2012. Au total, 1.381.967 nouveaux types1 de malwares ont fait leur apparition. Cela
représente une augmentation de 3,9% par rapport aux six derniers mois et plus de 11.0% sur l’année
précédente. Sur le premier semestre 2012, G Data SecurityLabs a enregistré en moyenne 316
nouveaux types de malwares par heure. À ce jour, rien n’indique que le second semestre connaitra
une hausse importante de ce chiffre. Pour l’année entière, la barre symbolique des trois millions de
types de malwares ne devrait pas être atteinte.
Graphique 1: nombre de nouveaux malwares par an depuis 2006
Catégories de malwares: Les spywares en hausse
Les codes malveillants peuvent être regroupés selon leur fonctionnalité principale. Le graphique 2
qui suit montre les catégories les plus importantes et leur évolution sur les cinq derniers semestres.
Les activités du groupe spyware inclus l’enregistrement des frappes au clavier, la recherche de mots
de passe et d’accès pour les jeux en ligne/comptes emails/ services financiers autant que la
manipulation des transactions financières elles-mêmes. Sur la première moitié de 2012, la part de
ces malware a encore augmenté et s’établit à 17,4%.
Dans ce classement, le nombre de spywares qui ciblent les identifiants de jeux ont fait une percée
remarquable. Le nombre de troyens bancaire dans la catégorie des spywares s’est aussi accru pour
atteindre les 14%. Les opérations bancaires en ligne sont devenues un véritable marché dans
l’économie des cybercriminels. Les logiciels espions prennent ainsi la deuxième place, juste derrière
le groupe « chevaux de Troie » qui rassemble un très grand nombre de fonctionnalités malveillantes.
1
Les chiffres de ce rapport sont basés sur l’identification des codes par leurs signatures. Elles sont basées sur des similarités dans le code.
Des codes malveillants semblables sont rassemblés dans des familles, dans lesquelles des écarts mineurs sont considérés comme des
variantes. Les fichiers complètement différents constituent la base de leurs propres familles. Le nombre repose sur des variantes
de nouvelles signatures créées dans la première moitié de2012
3
Graphique2: Nombre de nouveau malware par catégorie sur les cinq derniers semestres.
Le nombre de malware des catégories backdoors, downloaders et outils est aussi en hausse. Ceci est
un bon indice pour affirmer que de nombreux ordinateurs sont toujours intégrés dans des botnets.
Les Downloaders assurent le téléchargement de nouveaux fichiers malveillants dès que l’ordinateur
a été infecté. Les Backdoors permettent ensuite de prendre le contrôle à distance de l’ordinateur et
de l’intégrer dans un botnet. Les outils (Tools) sont utilisés pour automatiser l’infection d’autres
postes, gérer le réseau de machines infectées ou directement utiliser l’ordinateur à des fins illégales
(notamment, l’envoi de spam).
Capture1: échantillon de messages affichés par des malwares pratiquant le
rançonnage de leurs victimes.
Le nombre de logiciels de
rançonnage, qui
appartiennent au groupe
des chevaux de Troie, a
aussi augmenté. Ces
programmes verrouillent
l’ordinateur ou chiffrent les
fichiers et activent
différents scénarios pour
demander une rançon à
payer via uKash,
Paysafecard ou d’autres
services de paiements
anonymes. Dans ces
scénarios, on retrouve
régulièrement la mise en
accusation de l’utilisateur
pour ne pas avoir de licence
valide de Windows, le
téléchargement illégal de
4
fichiers ou l’utilisation de logiciels contrefaits. La demande de paiement se fait souvent en utilisant le
nom d’organisations connues : la gendarmerie, Microsoft ou ceux d’organismes défendant
l’application du copyright (GVU ou GEMA).
Pour les cybercriminels, la diffusion des chevaux de Troie qui chiffrent les données et des faux
antivirus (fake AV) est rentable : L’argent extorqué rémunère directement les auteurs des attaques.
Aucun intermédiaire n’est nécessaire pour ce type d’arnaque. L’expérience a montré que les
cyberescrocs cherchent en permanence les solutions les plus simples pour maximiser leurs gains.
Ceci s’applique tant aux malwares sous PC que ceux diffusés sur les plateformes mobiles2.
Plates-formes : Windows au top
À l’instar des programmes normaux, les malwares sont développés pour une plateforme spécifique.
Windows a, depuis des années une part très élevée dans cet univers. Et ce ne sont pas ces six
derniers mois qui viendront contredire cette affirmation. La part de malwares sous Windows3 s’est
encore accrue de 0,2% pour attendre 99,8% de la totalité des codes malveillants connus. La plupart
des nouveaux malwares continuent de faire leur apparition dans l’environnement Windows.
Ceux basés sur des sites web occupent la troisième place du palmarès. Ici néanmoins, la base de
signatures ne nous permet pas de déceler une tendance claire quant au nombre de nouveaux
programmes malveillants : la majorité des « web scripts » étant détectée sous la même signature
générique, aucune nouveauté n’a été signalée sur ce terrain. La situation est identique pour les
malwares des plateformes Apple (Mac/iOS). Les statistiques de la page 6 sont plus éclairantes sur ce
qu’il se passe au niveau des smartphones.
Diff.
Diff.
#2012 H1 #2012 H1
Platforme
#2012 H1
part
#2011 H2 part
#2011 H2 #2011 H1
1
Win
1,360,200
98.4%
1,305,755 98.2%
+4.2%
+11.7%
4
2
MSIL
18,561
1.4%
18,948
1.4%
-2.0%
-14.6%
3 WebScripts
1,672
0.1%
2,402
0.2%
-30.4%
-46.5%
4
Java
662
<0.1%
244
<0.1% +171.3%
+111.5%
5
Scripts5
483
<0.1%
626
<0.1%
-22.8%
-42.0%
Tableau 1: Top 5 des plates-formes sur les deux derniers semestres
2
Voir le paragraphe "code nuisible sur mobile" page 16
Malware pour Windows signifie ici que les fichiers exécutables au format PE appartiennent au Microsoft intermediate Language (MSIL).
MSIL est un format intermédiaire utilisé dans l’environnement de programmation .net. La plupart des applications .NET sont
indépendantes de la plateforme, mais elles sont pratiquement toutes utilisées sous Windows.
4
Une erreur d’arrondie dans le précédent rapport a été corrigée ici passant ce chiffre de 1,3% to 1,4%.
5
Les Scripts sont des fichiers batch ou des scripts/programmes écrits en VBS, Perl, Python ou Ruby.
5
3
Codes malveillants : à quand le déluge sur Android ?
Différentes données peuvent être utilisées pour compter les malwares sous Android. L’une d’entre
elles est le nombre de fichiers malveillants. Sur le premier semestre 2012, 25,611 fichiers6 sont
arrivés dans le SecurityLabs de G Data.
Malheureusement, il est difficile de retracer la
chronologie de diffusion de tous ces
échantillons,7 car la date exacte du premier
enregistrement de chaque échantillon n'est
pas toujours connue. 8 Le Graphique 2
montre la diffusion de tous les échantillons
dont la date d’apparition a été clairement
établie.
Graphique 2 : diffusion des fichiers dont la date d’apparition
est connue.
La plupart des fichiers dont la date d’apparition n’a pas pu être clairement établie proviennent de
groupes qui incluent des codes malveillants anciens. Si l’on ajoute ces fichiers aux valeurs des mois
précédents9, on obtient le Graphique 3. Cette consolidation des données permet de faire
apparaitre l’accroissement continu du nombre de nouveaux malware sous Android.
Graphique 3: timing d’apparition des nouveaux malwares sous Android après intégration des souches
anciennes.
À partir des signatures virales10, les fichiers malveillants peuvent être assignés à certaines familles de
malware et leurs variantes. Les 25,611 codes malveillants trouvés sur Android peuvent être classés
dans 737 variantes et 217 familles. 80 nouvelles familles sont apparues au premier semestre 2012. Le
Tableau 2 montre quelles familles ont le plus de variantes.
6
Les malwares sous Android peuvent être identifiés sur la base de plusieurs fichiers. Le package d’installation (APK) contient de
nombreux fichiers qui incluent le code et les propriétés d’autres éléments. Le comptage ne prend en compte que les fichiers APK même
s’ils sont composés de plusieurs fichiers.
7
Par échantillon, nous entendons des codes malveillants. Aussi appelés échantillon aléatoire, ils se distinguent par la somme de contrôle
de chaque fichier.
8
53.1% des codes malveillants pourraient être assignés à une date précise. L’assignation a été effectuée le 23 aout 2012.
9
Les chiffres ont été obtenus en effectuant une distribution rétrospective des six derniers mois.
10
The count of signatures and variants is based on the signatures from the G Data MobileSecurity products.
6
L’ingéniosité des auteurs de malwares et leur capacité à trouver de
nouveau scénario d’attaque font que le nombre de nouveaux codes
malveillants ainsi que le nombre de familles va continuer à
s’accroitre.
Mac OS X : Le ver est-il dans la pomme ?
Familles
FakeInst
Jifake
OpFake
KungFu
BaseBridge
GinMaster
JSmsHider
RuFraud
Adrd
MobileSpy
# variantes
59
50
44
39
21
20
15
15
13
13
Depuis des années, le marché des codes malveillants a été dominé
par ceux destinés aux plateformes Windows. Jusqu’à maintenant, les
autres plateformes n’ont joué aucun rôle sur ce marché et ça ne
semble pas changer. Les utilisateurs de Windows ont eu à subir des
campagnes publicitaires se moquant des déboires de leurs PC.
Aujourd’hui, les utilisateurs d’ordinateur sous Mac OS X doivent
Tableau 2: Liste des familles de
aussi se préoccuper de la santé de leur machine.
malwares sous Android avec le plus
de variantes (1er semestre 2012)
Sur les dernières années, seulement un petit nombre de malwares
ont été découverts sous Mac OS X. En 2006, le premier ver réseau Leap, récupérait tous les contacts
du programme iChat. Son activité est restée limitée et il est longtemps resté le seul code malveillant
sous Mac OS X. L’année suivante, DNSChanger a fait son apparition. Ce cheval de Troie caché dans
un faux codec QuickTime était destiné à voler des données personnelles. En dehors de cela, les
astuces d’ingénierie sociale en vogue sous Windows n’auront fait que quelques victimes parmi les
utilisateurs de Mac OS.
En 2008, les ordinateurs d’Apple ont découvert leur premier scareware avec MacSweeper. En plus
de l’apparition de messages impromptus, le programme demandait le paiement de 39,99$. Peu
après, des spywares ont aussi été adaptés à OS X (ex : Hovdy). L’année 2009 a vu apparaitre
IService, un malware prétendant être le logiciel iWorks. Ce dernier intégrait la machine dans un
botnet grâce à un backdoor intégré. Malgré la multiplication des malwares et une diffusion par
plusieurs canaux, les logiciels malveillants sont restés anecdotiques.
Au début de 2010, la donne a changé. Le groupe qui avait diffusé le scareware WinWebSec sous
Windows s’est attaqué aux utilisateurs Mac. Des programmes appelés MacDefender, MacSecurity
et MacProtector ont été mis en avant dans les résultats de recherche de Google. Après
l’installation, l’apparition de sites porno devait convaincre les utilisateurs que leur ordinateur était
infecté et qu’ils avaient besoin d’un logiciel de protection. Selon des rapports internes, la hotline
d’Apple a été submergée de demandes et il a fallu un moment avant que les instructions pour se
débarrasser de ces programmes malveillants soient données. Une autre variante de ces programmes
appelée MacGuard est arrivée à s’installer sans que l’utilisateur ait à fournir le mot de passe de la
machine qui normalement est requis pour toute installation.
En février 2012, les premières variantes du malware Mac Flashback ont été découvertes. Ces
variantes exploitaient une vulnérabilité dans Java qui permettait d’infecter un ordinateur lors de la
visite d’un site web malveillant. Cette infection se déroulait sans aucune sollicitation de l’utilisateur.
Entre autres choses, ce malware intégrait les ordinateurs infectés à un botnet. En avril, un rapport a
fait état de plus de 600.000 Mac infectés. La plupart tournaient sous la version « Snow Leopard » du
système d’exploitation. Preuve du changement en cours, pour la première fois, Apple a publié un
outil spécialement dédié à la suppression de ce code malveillant.
Il est donc acquis aujourd’hui que les malwares sont arrivés dans l’univers des ordinateurs Mac.
7
La période de test est terminée
Pour les malwares sur Mac OS, la période des « preuves de concept » (proof of concept) est bel et
bien terminée. Les cybercriminels voient avec beaucoup d’enthousiasme que le système
d’exploitation des Mac possède autant de vulnérabilités non corrigées et exploitables que son
concurrent Windows.
Autre signe du changement dans le monde des malwares pour Mac : Apple a supprimé son slogan
« immunisé contre les virus PC » et l’a remplacé par « conçu pour être sûr »11
Sur les prochains mois, nous nous attendons à voir de plus en plus de malware sous Mac OS X. Les
zones où Windows et Mac OS se rapprochent seront les premières touchées: social engineering et
failles accessibles via les sites web et les navigateurs.
Baromètre des risques
Sur les six premiers mois de 2012, une nouvelle augmentation des attaques a été constatée sur les
postes des utilisateurs des solutions G Data. C’est ce que dévoile le programme MII12.
Rang
Nom
Pourcentage
1
Trojan.Wimad.Gen.1
3.82%
2
Win32:DNSChanger-VJ [Trj]
1.33%
3
Exploit.CplLnk.Gen
0.76%
4
Worm.Autorun.VHG
0.67%
5
Trojan.Sirefef.BP
0.67%
6
Trojan.Sirefef.FZ
0.54%
7
Trojan.AutorunINF.Gen
0.54%
8
Win64:Sirefef-A [Trj]
0.36%
9
Trojan.Sirefef.BR
0.29%
10
Gen:Variant.Application.InstallCore.4
0.29%
er
Tableau 3 : Statistiques issues de MII sur le 1 semestre 2012
Présent depuis longtemps dans notre palmarès, Trojan.Wimad.Gen.1 se place donc à la première
place avec près de 4% des attaques détectées. Il représente 1 signalement sur 26 détections par les
utilisateurs des solutions G Data. Ce malware prend la forme d’un faux codec prétendument
nécessaire pour lire des fichiers multimédia.
Les codes malveillants Autorun qui apparaissent aux 4e et 7e places ainsi que l’exploit
Exploit.CplLnk.Gen à la 3e position ne sont pas, non plus, des nouveaux venus. Le premier malware
« nouvel entrant » dans ce top 10 est le cheval de Troie de la famille Sirefef.
Cette famille très versatile apparait à quatre reprises dans notre classement. Sa structure modulaire
lui donne accès à tout un panel d’attaques. Ces malwares utilisent des fonctions de rootkit pour
cacher leur code malveillant et s’en prennent en premier lieu au système de fichiers du pc infecté.
Les résultats des moteurs de recherche du web sont ensuite manipulés pour que l’utilisateur soit
11
http://www.huffingtonpost.co.uk/2012/06/25/apple-removes-claims-of-viruses_n_1624309.html
La Malware Information Initiavie (Mll) tire sa puissance de sa communauté en ligne et tous les utilisateurs ayant acquis une solution de
sécurité G Data peuvent y participer. Seul prérequis: l'activation de cette fonction dans l'un des programmes de G Data. Par la suite,
chaque fois qu'un malware est détecté et supprimé, un rapport totalement anonyme est ajouté à la base statistique de G Data Security
Labs
8
12
redirigé vers des pages bien précises afin d’afficher des bannières publicitaires et ainsi générer des
revenus pour le gestionnaire du malware (pay per click advertising).
Sirefef est distribué via des sites web en utilisant une véritable boite à outils d’exploit ( Blackhole
ou Crimepack), mais aussi par le biais d’email et de leurs fichiers attachés. Selon nos observations,
les signalements des malwares de la famille Sirefef sont encore en hausse. Sirefef est aussi installé
grâce à une variante de DNSChanger. ( Win32:DNSChanger-VJ [Trj], qui détient aussi la seconde
place de notre classement, mérite vraiment une mention spéciale.) Cependant, la partie malfaisante
d’un malware de la famille Sirefef peut s’avérer de n’importe quelle nature et ne dépend que des
préférences de l’auteur du code malveillant.
Autre élément notable de cette période, les adware sont en forte baisse. Sur la première moitié de
l’année 2012 seul Gen:Variant.Application.InstallCore.4 est apparu dans le top 10.
Alors que la part des adwares a beaucoup fluctué sur le second semestre 2011, ces six derniers mois
ont montré une régression des attaques de ces logiciels et plus généralement des programmes
potentiellement indésirables (PUP) dont les adwares font partie.13
Graphique 4: Part des programmes potentiellement indésirables et des adware détectés par le Malware
Information Initiative.
13
Voir Graphique 4
9
Site Internet : Analyse sémantique et géographique
Catégorisation par thème
Sur les six premiers mois de 2012,
201 , le regroupement des sites web malveillants14 par thème ne
montre que des changements mineurs par rapport à la période précédente. (Les chiffres ne font pas
la distinction entre les sites spécialement créés pour des activités malveillantes et ceux qui ont été
détournés de leur objectif premier à l’insu
l’in
de leur propriétaire.)
Encore une fois, le top 5 représente plus
de la moitié des domaines repérés et le
top 10 en rassemble 70.7%. Les
thématiques présentées couvrent donc la
plupart des sites malveillants même si l’on
peut noter une légère diversification
diversifica
(le
top 10 précédent représentait 73,1% du
total).
Deux nouveaux entrant dans ce
classement : l’ éducation à la huitième
place et la musique (10e ).
Ils ont remplacé les sujets partage de
fichiers (5e dans le précédent classement)
classement
et la santé (7e ). La disparition du sujet
« partage de fichier » peut être attribuée
aux poursuites judiciaires à l’encontre
encontre de
sites comme The Pirate Bay ou d’autres
sites de partage (megaupload…) .
Les thématiques musique et
divertissement, accompagnent
l’accroissement (cf Tableau 3)
3 du
malware Trojan.Wimad.Gen.1 qui se fait
passer pour un composant de lecteur
audio/vidéo. Depuis que les échanges P2P sont pris pour cible par les autorités, les utilisateurs
emploient d’autres voies pour récupérer les fichiers qui les intéressent.
intéressent Ceci inclut le téléchargement
direct via des sites web sans utilisation de logiciels spécifiques. Ils sont donc plus susceptibles de
tomber
mber dans certains scénarios préparés par les auteurs de malware : le site peut être infecté et
contenir des fichiers contrefaits qui installent des malwares sur l’ordinateur. Il peut aussi s’agir de
phishing avec des demandess de données personnelles à l’utilisateur pour débloquer le
téléchargement des fichiers demandés.
demandés
La principale explication de l’augmentation de la thématique « jeux » (qui
qui passe de la 10e à la 6e
place) est l’augmentation du nombre de sites malveillants relié au jeu Starcraft. La catégorie « blog »
a aussi progressé dans le classement (de la 8e à la 4e place) rappelant encore une fois que les
14
Dans ce contexte, les sites web malveillants rassemblent à la fois les sites de phishing et ceux qui propagent des codes malveillants.
malv
10
attaques massives contre les systèmes de gestion des blogs est l’une des méthodes de
détournement de sites les plus populaires. Quelle que soit la méthode utilisée -vol du mot de passe
administrateur ou exploitation d’une vulnérabilité- dès que les pirates ont accès à l’administration
du blog, ses visiteurs peuvent être attaqués.
Conclusion
L’analyse thématique montre clairement qu’il y a un risque d’infection à n’importe quel moment et
que cela peut arriver à n’importe qui !
Les blogs sont particulièrement visés, car ils sont faciles à infecter, drainent un nombre substantiel
de victimes et leur attaque peut se faire de façon massive en utilisant des vulnérabilités de sécurité.
Ces attaques sont répandues et sont menées quotidiennement.
Ceci mis à part, un sujet populaire comme la coupe européenne de football15 ou, cette année, les
Jeux Olympiques16 , feront des cibles bien plus attractives en raison du nombre de visiteurs
potentiels. Les auteurs de sites malveillants le savent et préparent leurs sites, enregistrent des noms
de domaine, mènent des attaques, en fonction de cette actualité.
Localisation des sites web malveillants
En plus de l’analyse thématique, il est intéressant de relever la distribution géographique des sites
web malveillants. Notre carte ( Graphique 5 ) montre la concentration de sites par pays.
Les choses ont quelque peu changé depuis la seconde moitié de 2011. La France perd sa première
place en faveur de l’Allemagne. Par ailleurs, le nombre de sites malveillant a considérablement
Localisation moins
populaire
Localisation plus
populaire
Graphique 5 : Carte des pays hébergeant des sites web malveillants
15
http://blog.gdatasoftware.com/blog/article/homepages-of-several-famous-european-football-clubs-hacked.html
http://www.gdatasoftware.co.uk/about-g-data/press-centre/news/news-details/article/2836-2012-olympics-sports-fans-tar.html
11
16
baissé en Turquie depuis la dernière analyse. Pour le reste, le classement a peu changé ; seul le
nombre de sites au Royaume-Uni, en Suède et aux Pays-Bas a augmenté.
Outre-Atlantique, le constat reste dans ce qui est déjà connu : les États-Unis sont toujours le pays
hébergeant le plus de sites malveillants. Côté asiatique, la Chine et la Thaïlande ont vu leur parc de
site augmenter. À l’inverse, les sites malveillants ont décru en Inde.
Banque en ligne
Le premier semestre 2012 a été marqué par des poursuites judiciaires à l’encontre de personnes très
influentes dans le monde des chevaux de Troie bancaire. Sur le marché noir, l’auteur du cheval de
Troie SpyEye a annoncé qu’il travaillait sur une seconde version de son malware et qu’il ne serait pas
joignable pendant un moment. Peu de temps après, on apprenait que des poursuites avaient été
engagées à son encontre ce qui expliquait mieux son absence. A cela s’ajoute l’arrestation du
créateur de ZeuS.17
Q1 2012
Sinowal
SpyEye
ZeuS
Bankpatch
Carberp
Others
49.9%
18.2%
16.2%
12.5%
1.9%
1.3%
Q2 2012
Bankpatch
Sinowal
ZeuS
SpyEye
Others
34.1%
30.9%
20.4%
13.1%
1.4%
Tableau 4: part des chevaux de
Troie bancaire détectés par
BankGuard sur Q1 et Q2 2012
Graphique 6 : Part des chevaux de Troie bancaire détectés par BankGuard sur
le 1er semestre 2012
Tandis que la diffusion de SpyEye a décliné sur les quatre derniers mois de 2012, la tendance a été
inverse pour son concurrent ZeuS dont le nombre d’infections a rapidement augmenté malgré son
arrestation. L’explication est simple : l’auteur original de ZeuS ne jouait pratiquement plus aucun
rôle dans son développement : ceux qui profitent de ce malware créent leurs propres versions
basées sur le code source de ZeuS. La version originale a été supplantée par ses clones.
Ceux publiés en 2011, comme IceIX et LICAT, ont atteint des sommets en nombre de postes
infectés même s’ils n’étaient pas très innovants. Ce n’est pas le cas des clones apparu en 2012:
Gameover a intégré une communication P2P en lieu et place d’un système plus classique de serveur
17
http://krebsonsecurity.com/2012/03/microsoft-takes-down-dozens-of-zeus-spyeye-botnets/
12
de commande centralisé. Cette innovation a été rendue nécessaire par l’accroissement de la lutte
contre les réseaux de botnet menée par les autorités et les hébergeurs de contenus. Les
communications P2P rendent plus difficile la suppression d’un botnet qu’une structure reposant sur
un serveur centralisé.
Autre clone de Zeus à s’être fait un nom : Citadel. Sa particularité ? Ses auteurs ont proposé, aux
utilisateurs de ce malware, un système de support et la possibilité de faire des demandes de
fonctionnalités comme on peut le trouver dans les solutions commerciales classiques.
Les auteurs de ZeuS et de son successeur SpyEye n’ont pas été les seuls à avoir à faire avec la
justice. Plusieurs personnes derrière le cheval de Troie Carberp ont aussi été arrêtées. Fin 2011,
Carberp continuait à se répandre rapidement grâce à l’intégration d’un bootkit. Après les
arrestations en mars18 et juin 201219, le malware a pratiquement disparu.
Du côté de Sinowal, le nombre d’infections est resté très élevé. Sur les quatre derniers mois,
Bankpatch lui a volé la première place de la catégorie. Ceci a été rendu possible par l’ajout, dans ce
malware, de fonctions de désactivation des logiciels antivirus.
Les autres chevaux de Troie comme Bebloh, Ramnit, Silentbanker et Gozi, ont été très peu
présents sur la période.
Le fait marquant de ce premier semestre 2012, c'est aussi la professionnalisation des schémas
d’attaques. Ainsi, l’une des variantes de SpyEye activait la webcam de ses victimes et utilisait le flux
vidéo pour ses propres besoins.20
En comparaison, la plupart des schémas d’attaque précédents étaient relativement simples : par
exemple, lorsqu’une victime se connectait à son service de banque en ligne, une fenêtre lui
demandait plusieurs TAN pour s’identifier, données qui étaient immédiatement envoyées au
cybercriminel. Les mises en garde des banques ont réduit le nombre d’utilisateurs se faisant avoir
par ces pop-up même lorsqu’elles reprennent les logos d’un établissement bancaire. D’autres
schémas étaient basés sur des transferts d’argents du compte de la victime vers celui du
cybercriminel sans cacher le nom du bénéficiaire ni la présence d’une transaction dans l’activité du
compte. Depuis que les transferts sont temporisés par les banques, ce schéma est beaucoup moins
pertinent puisque les utilisateurs ont le temps d’annuler les transactions.
Depuis, de nouvelles méthodes plus sophistiquées ont été employées : les scénarios Automatic
Transfer System (ATS) 21, Ici, aucune interaction avec l’utilisateur n’est requise. Les transactions
n’apparaissent plus dans la liste et même le solde du compte est maquillé. Le vol ne peut plus être
repéré par la victime.
La technologie G Data BankGuard empêche ce type d’attaque en interdisant l’insertion de codes
dans la page web qui concrétisent normalement cette attaque de « man-in-the-browser ». Au
second semestre 2012, aucun cheval de Troie bancaire n’a utilisé d’autres formes d’attaque et aucun
n’a réussi à échapper à la détection de G Data BankGuard!
Sur le second semestre 2012, de nouvelles personnes risquent de prendre les places des auteurs des
malwares ZeuS et SpyEye avec surement beaucoup moins de « publicité » que leurs prédécesseurs
afin d’éviter d’être rapidement arrêtées. Les schémas d’attaques seront sans doute révisés pour
accroitre leur efficacité.
18
http://group-ib.com/?view=article&id=664
http://group-ib.com/index.php/o-kompanii/176-news/?view=article&id=633
20
http://blog.gdatasoftware.com/blog/article/spyeye-living-up-to-its-name.html
21
https://www.net-security.org/malware_news.php?id=2163
19
13
Code nuisible sur mobile
Avec l’accroissement de ce marché, les smartphones et tous les périphériques mobiles sont de plus
en plus attirants pour les créateurs de malwares. De 700.000 téléphones et tablettes Android activés
chaque jour en décembre 2011, on est passé à 900.000 /jour en juin 2012.22 Cette tendance promet
aux cybercriminels un retour sur investissement de plus en plus intéressant.
Un panel assez large de codes
malveillants est actuellement
dans la nature. Le net regorge
de chevaux de Troie, virus,
riskware et portes dérobées.
Cependant, ces malwares ne
peuvent pas toujours être
Capture 2 : tweet d’Andy Rubin au sujet des activations de mobile sous
détectés sur des erreurs de
Android (source: http://twitter.com/ARUBIN)
programmation ou de
conceptions : leurs développeurs deviennent de plus en plus doués lorsqu’il s’agit de cacher les
fonctions malveillantes de leurs programmes. Les malwares apportent même les fonctions réelles
qui sont mises en avant pour que l’utilisateur les télécharge. Ce dernier n’a donc aucune chance de
les repérer. La seule parade est de récupérer des fichiers uniquement de sources sûres et d’utiliser
des logiciels de sécurité afin de détecter les comportements suspects.
Autre élément révélateur, la demande de développeurs de malware sous Android est en hausse. Sur
2011, la plupart des malwares mobiles se concentraient sur l’envoi de SMS « premium » et sur l’appel
de lignes surtaxées (dont les conséquences ne sont visibles que sur le relevé de communication à la
fin du mois…). Pour atteindre leurs objectifs, ces malwares se sont cachés dans des applications
connues et ont été distribués sur des marchés parallèles. L’espionnage des utilisateurs a aussi été un
des passe-temps favoris des créateurs de ces codes malveillants. Grâce à des bannières publicitaires
présentes dans des applications, les utilisateurs ont été redirigés sur des sites web leur demandant
des données personnelles pour s’identifier dans des jeux. D’autres messages leur demandaient
d’installer des applications ou de recommander telle ou telle application à leurs amis par SMS, et ce,
sans lien avec l’application d’origine.
2012 a aussi été marqué par une reprogrammation complète voir la création d’applications
apportant certes les fonctionnalités indiquées, mais aussi des fonctions malveillantes. Cette
stratégie a permis à ces malwares de rester plusieurs jours voire plusieurs semaines dans le Play
Store de Google. Même les utilisateurs expérimentés ont pu être abusés par ces applications
populaires qui révèlent leur code malveillant une fois installées.
Le calendrier que nous avions prédit pour 2012 a donc bien été respecté. Pire, le nombre de
malware n’a pas seulement augmenté23, le nombre d’auteurs de ces codes malveillants a aussi
explosé. Heureusement, les poursuites judiciaires ne se sont pas fait attendre. Ainsi, deux Français
ont été arrêtés après avoir gagné près de 100.000 € en diffusant un malware sous Android.24
22
voir Capture 2
Voir le paragraphe " Codes malveillants : à quand le déluge sur Android ?", page 6
http://www.linformaticien.com/actualites/id/23741/2000-utilisateurs-d-android-escroques-en-seine-saint-denis.aspx
23
24
14
Exemple concret pour cette période, le cheval de Troie FakeDoc, (aussi connu sous le nom de
Battery Doctor) a employé un concept très porteur pour infecter un grand nombre de périphériques
Android. Présenté comme un outil d’optimisation de la batterie, ce programme a aussi espionné ses
utilisateurs, collecté des données (informations sur le compte Google, coordonnées GPS, numéro
Screenshot 4 : Trojan MMarketpay se
cachait dans une application
fonctionnelle de météo
Screenshot 3 : Trojan FakeDoc était
camouflé dans une application
d’optimisation de batterie
IMEI, version du système et du navigateur) et affiché des publicités même après la suppression de
l’application. Le tout s’est fait avec une information minimale de l’utilisateur.
Autre point intéressant, ce cheval de Troie a utilisé le service « push » du système afin d’afficher ses
bannières publicitaires. Par ce biais, les auteurs ont reproduit un schéma déjà présent sur PC : la
rémunération au clic de bannière.
Sur les six derniers mois, plusieurs malware se sont imposés par leur nombre:
Le backdoor Plankton (Android.Backdoor.Plankton.A) dont la fonction a été d’envoyer
l’historique de navigation et les liens favoris ainsi que le numéro IMEI et IMSI vers un serveur défini
par l’attaquant.
BaseBridge (Android.Trojan.BaseBridge.A) et Geimini (Android.Trojan.Geimini.E) -dont la
première variante avait été déjà découverte en 2010- ont aussi été très présents grâce à un grand
nombre d’applications infectées.
Le cheval de Troie bancaire Zeus-in-the-Mobile (ZitMo), qui transmet les mTANs reçus par SMS vers
un serveur est toujours dans la nature. Les applications populaires restent toujours très ciblées par
les développeurs de malwares.
15
Cependant, les fuites de données ne viennent pas
seulement de l’activité des malwares : L’application
WhatsApp qui remplace le système de SMS des
smartphones a été prise en flagrant délit de nonprotection des données qu’elle gère : un pirate pouvait
intercepter toutes les données envoyées par cette
application (messages, images et même coordonnées
GPS) le tout sans avoir à modifier l’application
officielle.25 Une erreur de programmation avait
supprimé le chiffrement des données lors de
l’utilisation d’un réseau wifi. (Sauf sur Blackberry). Un
programme d’interception (sniffer) a été publié pour
rendre encore plus facile la collecte de ces
informations.
Bénéficiant d’un bon rapport temps de
développement/gains, les applications qui exploitent
ce type de vulnérabilités et les chevaux de Troie
intégrés à des programmes légitimes vont continuer à
se répandre. Le seul moyen d’enrayer le processus est
Capture 5 : La lecture d’une conversation d’un
tiers est très facile avec l’application WhatsApp
une détection rapide de ces malwares par une solution
Sniffer.
de sécurité et la prise de conscience des utilisateurs de
smartphones et de tablettes que leurs périphériques doivent être protégés comme leurs
ordinateurs.
En 2012, malgré la mise en place du programme Google Bouncer, qui scanne en permanence les
comptes des développeurs Android ainsi que les applications publiées, le marché Google Play
contenait encore des malwares. Google Bouncer est mécanisme de protection destiné à empêcher
la publication d’applications dangereuses sur le magasin d’applications de Google. En juin 2012,
deux chercheurs américains ont démontré que ce mécanisme pouvait être déjoué26 et ont critiqué
officiellement la pertinence de cette protection.
Le fait qu’il y ait encore des malwares sur le Google Play Store vient aussi de l’incapacité de Google à
définir une stratégie claire. Même si des applications sont détectées comme malveillantes et
supprimées de Google Play, elles sont réadmises après une légère modification du code. Une
astuce utilisée par les auteurs de malwares est de demander une autorisation d'utiliser des services
payants avant l'installation de l'application. Cette première étape, qui n’attire l’attention que des
utilisateurs les plus vigilants est bien cachées. La plupart des utilisateurs la sautent, croyant être en
sécurité dans le site de Google Play. La plupart ne savent pas, non plus, que les services payants
sont très courants sur ce site et que cela peut même concerner les applications les plus simples.
Les licences d’utilisation (EULA), que l’utilisateur accepte souvent sans les lire, peuvent aussi poser
problème. D’autres modifications peuvent aussi apparaitre dans les techniques de chiffrement des
communications.
Cette sécurité supposée qu’offre le marché officiel Google Play est l’une des raisons qui a poussé
G Data à ajouter la catégorie riskware dans les malwares sous Android. Cette catégorie rassemble
25
http://blog.gdatasoftware.com/blog/article/using-whatsapp-in-wifi-makes-conversations-public.html
https://blog.duosecurity.com/2012/06/dissecting-androids-bouncer/
26
16
des programmes qui ne sont pas des malwares au sens strict, qui répondent même aux critères de
Google, mais qui ont des fonctions potentiellement non désirées.
Android.Riskware.SndApps.B, appelé plus communément SndApps27 en est un bon exemple. Si
l’utilisateur démarre l’application, il verra apparaitre un écran qui joue un son lorsqu’on touche la
surface. Le mode "Whoopee Cushion" reproduit, par exemple, un bruit de flatulence…
Son prédécesseur Android.Trojan.SndApps.A, a été supprimé du magasin Google en juillet 2011
peu après sa publication. La seconde version a été publiée par Typ3-Studios et a été accompagnée
d’une licence d’utilisation très détaillée et est disponible sur le Google Play Store depuis aout 2011.
En supplément, les données envoyées par cette application ne sont pas chiffrées comme le
préconise Google.
Capture 6 : Les applications de Typ3-Studio, qui ont été remises sur le marché official de
Google après une modification mineure.
Le risque pour les utilisateurs de cette application est que le contrat d’utilisation ne puisse pas être
vu directement. En effet, l’utilisateur doit appuyer sur le bouton menu pour que le détail du contrat
apparaisse. Si le périphérique n’a pas de bouton « menu », il ne pourra pas voir le texte.
Dernier constat de ce second semestre 2012 : de nombreux cas d’infection par des paquets APK
(format de fichier d’installation) automatiquement
téléchargés ont été rapportés. Leur origine est double.
Dans un cas, l’utilisateur peut avoir navigué sur un site
via son téléphone (soit de manière intentionnelle, soit
en s’étant fait rediriger par une application installée).
Le site lui a alors demandé le téléchargement d’un
paquet APK. Dans un autre cas, ce téléchargement a
été initié à travers une application déjà installée et qui Capture 7 : dans les paramètres de sécurité, les
utilisateurs devraient interdire les sources
a proposé un nouveau programme sans passer par
inconnues.
Google Play.
27
http://blog.gdatasoftware.com/blog/article/malware-or-not-malware-thats-the-question.html
17
Ces deux scénarios sont un moyen très efficace pour diffuser des malwares : le téléchargement
s’effectue sans que l’utilisateur n’ait à intervenir. Ce dernier est uniquement sollicité pour démarrer
l’installation ou l’application téléchargée.
Pour les utilisateurs de périphériques Android, il faut donc continuer à télécharger les applications
uniquement de sources sûres et ne pas oublier de lire la description des applications, les
autorisations qu’elles demandent et les critiques émises par les autres utilisateurs.
Par exemple, une application venant d’un serveur hébergé en Chine ne devrait pas être installée
sans les paramètres de sécurité recommandés28.
La hausse continue du nombre de périphériques sous Android et leur capacité à accéder aux
nouveaux contenus et à de nouvelles fonctionnalités font que le nombre de malware va continuer à
croitre.
Les malwares de plus en plus sophistiqués devraient faire leur apparition : toutes les options n’ont
pas encore été exploitées par les développeurs de codes malveillants.
Le marché européen des transactions par NFC (ie Google Wallet) fait aussi partie des futurs scénarios
des cybercriminels. Pour l’instant, les téléphones embarquant cette technologie ne sont pas encore
assez nombreux en Europe. De plus, les scénarios d’attaque possible ne sont que dans les
laboratoires. C'est pourquoi leur apparition réelle ne se fera que lorsque le marché sera plus large.
Ce qui ne saurait tarder : la société Gartner prévoit que le nombre d’utilisateurs des paiements par
téléphone portable devrait atteindre 212,2 millions en 2012, une augmentation de 51,7 millions par
rapport à l’année précédente. Leurs prévisions sur les transactions par NFC restent cependant assez
modestes : ces dernières devraient augmenter significativement à partir de 2015/2016.29
Ces scénarios vont continuer à faire peser une menace sur le futur. Le besoin de protection contre
des risques potentiels va croitre d’autant. Il ne faut cependant pas oublier que les mécanismes de
protection ne sont efficaces que s’ils sont suivis et utilisés. Les cybercriminels gagneront la partie
tant que des utilisateurs ne protégeront pas correctement leur PC.
28
Voir Capture 7
http://www.gartner.com/it/page.jsp?id=2028315
29
18

Juin Malware Report Rapport semestriel Juin 2012

Transcription

Documents pareils

Télécharger autant PDF - AV-Test

Méthodes de détection de protectors et de logiciels - Big

Analyse des malwares

Supprimer les logiciels malveillants

Télécharger autant PDF - AV-Test

Télécharger autant PDF - AV-Test

Démarche de décontamination

Télécharger autant PDF - AV-Test

Lexique – Internet Banking en toute sécurité(Pdf 137.9 KB)

Article au format PDF

Profiter d`internet en limitant les risques