Android reste de loin l’OS le plus ciblé. 98% des malwares mobiles sont aujourd’hui conçus pour Android, suivi de Java. Nicolas Brulez recense plus de 12 millions de menaces sur mobiles à l’heure actuelle. Concernant la répartition des attaques sur ce type de device, les principales victimes sont pour l’instant la Russie (45,7% des utilisateurs russes attaqués) et l’Inde (6,8%), mais globalement tous les pays sont touchés. La France n’apparaît pas dans le Top 10. Par contre, si l’on se fie au pourcentage d’applications malveillantes (par rapport à celui d’applications téléchargeables dans un pays), la Russie cède sa première place au Vietnam (2,34%), suivi de la Pologne (1,88%) et de la Grèce (1,70%). En Europe, on ne voit pas encore beaucoup d’infections contrairement à certaines autres régions du monde.

Les Trojans SMS arrivent en tête des menaces mobiles

Du côté des attaques identifiées sur mobiles, la majorité d’entre elles sont l’œuvre de Trojans SMS, qui envoient donc des SMS sur des numéros surtaxés. En effet, sur les 20 premiers malwares à l’origine du plus grand nombre d’attaques, 10 d’entre eux sont des Trojans SMS et font partie des familles Stealer, OpFake, FakeInst, Agent et Erop. Le Trojan-SMS.AndroidOS.Stealer.a arrive en tête des infections.

Outre les Trojans SMS qui représentent environ 24% des malwares sur mobiles détectés, on retrouve également d’autres familles, telles que les adwares (21%), les chevaux de Troie (14,7%), les backdoors (13,1%), les RiskTools (12%)… Les Trojans SMS et les backdoors perdent toutefois peu à peu des parts de marché au profit des adwares et des Trojans bancaires sur téléphones. Plus de 12 000 cas de Trojans bancaires ont effectivement été identifiés en 2014. Et ce ne sont pas moins de 4,6 millions de paquets d’installation malicieux qui ont été recensé par Kaspersky Lab sur cette période. Malgré cette perte de vitesse, ce sont toujours les Trojans SMS qui arrivent en tête au premier semestre 2015.

Podec & Stealer.a : deux Trojans SMS qui ont affolé les mobiles Android en 2014

Parmi les exemples de malwares mobiles significatifs, il cite entre autres :

– Le Trojan-SMS.AndroidOS.Podec, un Trojan SMS qui utilise un système de protection légitime puissant contre l’analyse et la détection. Une nouvelle version opérationnelle de ce malware a d’ailleurs été découverte par les chercheurs de Kaspersky Lab en 2015.
Ce Trojan a principalement circulé en Russie, notamment via VKontakte, le Facebook russe, et l’application Minecraft… Une fois l’application téléchargée, elle demande à l’utilisateur s’il veut lui donner les droits administrateurs. Sauf que tant que ce dernier n’a pas dit oui, le téléphone reste bloqué. Une fois qu’il aura accepté, le « faux » jeu sera tout de même téléchargé. Par contre, une fois l’application installée, il sera impossible de la supprimer.
Le Trojan va ensuite se connecter sur les serveurs de contrôle et attendre des commandes d’instruction à exécuter. Le Cheval de Troie Podec va être en mesure de récupérer les informations du téléphone (langue, pays, numéro IMEI…), ainsi que la liste des applications téléchargées. Il peut également envoyer des SMS, filtrer les SMS entrants et empêcher certains d’entre eux de s’afficher, filtrer les appels entrants et sortants, afficher de la publicité, effacer les messages et les appels, récupérer le code source d’une page HTML sur un serveur, effectuer des DDoS, s’inscrire sur les services premium, activer le micro et donc écouter l’utilisateur…
La nouvelle version de ce Trojan découverte cette année par Kaspersky Lab est pour le moins singulière puisqu’elle est dotée d’une fonction d’envoi de messages à des numéros surfacturés à l’aide de mécanismes de contournement du système « Advice of Charge » (notification envoyée à l’utilisateur sur le coût du système et demande de confirmation du paiement) et d’une autre fonction permettant d’inscrire la victime à des services payants, en contournant le système CAPTCHA.

– Le Trojan-SMS.AndroidOS.Stealer.a, un Cheval de Troie qui envoie des SMS à des numéros surtaxés dans différents pays à travers le monde. Sa propagation a commencé en Russie, mais ce Trojan s’est aussi déplacé en Europe. Il se fait passer pour une application légitime et donc la plupart des gens s’infectent, au final, eux-mêmes en procédant au téléchargement.
Parmi les principales fonctionnalités de ce Trojan, on peut noter : l’envoi de messages, la réception de commandes, la mise à jour du Trojan, l’envoi des informations concernant le téléphone (langue, pays, numéro IMEI…), ainsi que la liste des applications téléchargées, l’interception de messages, la récupération de la position GPS du téléphone et donc de la victime, l’écoute du téléphone ou encore l’installation d’applications…

Les utilisateurs d’Apple ne sont pas non plus à l’abri…

Apple n’est toutefois pas complètement épargné par la menace mobile. Il cite à titre d’exemple iOS locking. La compromission des comptes iCloud permet, en effet, d’attaquer les téléphones Apple et le lancement de campagnes de ransomwares. Les utilisateurs infectés voient un message d’avertissement s’afficher sur leurs écrans leur offrant de déverrouiller leurs appareils en échange d’une certaine somme d’argent.

En conclusion, Nicolas Brulez constate que les menaces sur mobiles sont de plus en plus avancées et les pirates peuvent faire de plus en plus de choses : récupérer des informations, mais aussi procéder à de l’espionnage… Près de 9 300 nouveaux paquets d’installations malicieux sont recensés chaque jour et cela ne va pas s’arrêter. De plus, les Chevaux de Troie espions peuvent être utilisés dans la sphère privée, mais aussi en entreprises. Sans compter, enfin, que les ransomwares existent aussi sur les téléphones android et chiffrent les données des utilisateurs en échange de rançons. Autant de perspectives qui ne laissent présager rien de bon pour la suite…