mar, 09/10/2012 - 11:29
Fortinet publie le résultat de ses recherches sur les principales menaces qui ont sévi au troisième trimestre 2012. Au cours cet période a été constatée une nette augmentation d’adware sur les appareils Android, de nouveaux éléments laissant penser que le cheval de Troie bancaire sur mobile Zitmo (Zeus-in-the-Mobile) se transforme en un réseau d’ordinateurs zombis (botnet) et la découverte de hackers Roumains effectuant un grand nombre de scans de vulnérabilités Web.
Adware à la Hausse sur les appareils Android
Au cours des trois derniers mois, FortiGuard Labs a fait état d’une forte augmentation d’adware (publiciel en français) sur les appareils mobiles Android avec un volume d’activités comparable à Netsky.PP, l’un des générateurs de spams le plus notoire et le plus prolifique connu au cours de l’histoire d’Internet. Deux variantes d’adware Android/NewyearL et Android/Plankton ont été détectées par près d’un pourcent de tous les systèmes de surveillance FortiGuard pour les régions APAC et EMEA et quatre pourcent pour l’Amérique. Ces deux variantes d’adware couvrent diverses applications qui intègrent un ensemble d’outils commun pour des publicités non désirées affichées sur la barre d’état du téléphone mobile, le pistage de l’utilisateur à travers leur numéro IMEI (International Mobile Equipment Identity ou littéralement identité internationale d'équipement mobile) et l’ajout d’icones sur l’écran de l’appareil.
“La forte augmentation d’adware sur Android peut sans doute être imputés aux utilisateurs qui installent sur leurs appareils mobiles des applications légitimes qui contiennent des codes adware embarqués. Cela sous-entend que quelqu’un ou un groupe gagne de l’argent, très probablement par de faux programmes d’affiliation publicitaires,” déclare Guillaume Lovet, Responsable Sénior de l’Equipe Réponses aux Menaces FortiGuard Labs de Fortinet.
Ces types d’applications requièrent trop de droits inutiles pour une application normale qui n’aurait pas d’intentions cachées. Les demandes de données incluent la permission d’accéder à certaines parties de l’appareil qui sont inutiles à l’application, d’avoir accès à l’historique du navigateur de l’appareil, aux favoris, à l’historique des appels ainsi qu’aux journaux systèmes.
L’application ci-dessous (détectée sous le nom générique Android/Plankton) est un exemple d’application adware sur les appareils mobiles Android qui requiert des informations inutiles:
Pour de bonnes pratiques, FortiGuard Labs recommande de prêter une attention particulière aux droits demandés par l’application au moment de l’installation. Plus généralement, il est également recommandé de télécharger des applications mobiles qui ont été très bien notées et vérifiées.
Zitmo Devient Plus Sophistiqué
Au dernier trimestre, les chercheurs FortiGuard ont découvert que Zitmo (ou Zeus-in-the-mobile) a évolué en une menace plus complexe, avec de nouvelles versions récemment introduites pour Android et Blackberry.
Zitmo est le célèbre composant mobile du cheval de Troie bancaire Zeus qui contourne l’authentification à deux facteurs en interceptant les codes de confirmation SMS pour accéder aux comptes bancaires. Les nouvelles versions pour Android et Blackberry ont désormais des caractéristiques de type réseau d’ordinateurs zombis (botnet), comme par exemple permettre aux cybercriminels de contrôler le cheval de Troie via les commandes SMS.
“La nouvelle version de Zitmo est peut- être déjà dans la nature en Europe et Asie. Bien que nous ne détectons que quelques exemples du logiciel malveillant dans ces régions, cela nous porte à croire que le code est actuellement en train d’être testé par ses auteurs ou déployé pour des attaques ciblées très spécifiques,” poursuit Guillaume Lovet.
Comme de plus en plus de banques et de sites marchands déploient l’authentification à deux facteurs − généralement par le biais de l’utilisation d’un code SMS pour obtenir le second facteur d’authentification et confirmer une transaction − les utilisateurs de Android et Blackberry devraient être vigilants lorsque leur institution financière leur demande d’installer un logiciel sur leur appareil, car c’est une chose que les banques ne demandent que très rarement, voire jamais, à leurs clients. Pour une sécurité totale, FortiGuard Labs recommande de réaliser ses opérations bancaires en ligne à partir du CD du système d’exploitation d’origine. Si ce n’est pas possible, les utilisateurs devront installer un antivirus sur leur téléphone et PC et être sûr que ces derniers soient mis à jour avec les derniers correctifs.
Des Hackers Roumains Scannant la Vulnérabilité phpMyAdmin
Au cours des trois derniers mois, FortiGuard Labs a détecté un grand nombre de scans de vulnérabilités. Ces scans ont été réalisés par un outil développé par des hackers roumains qui cherchent des serveurs Web fonctionnant sur des versions vulnérables du logiciel d’administration mySQL (phpMyAdmin) dans le but de prendre le contrôle de ces serveurs.
L’outil, appelé ZmEu, contient des chaines de caractères qui font référence à AntiSec, le mouvement de hackers mondial initié par Anonymous et Lulzsec l’an dernier. Les scans sont effectués dans le monde entier, et en Septembre, près de 25 pourcent des systèmes de surveillance FortiGuard ont détecté au moins un tel scan chaque jour.
“L’objectif de cette attaque est inconnu,” ajoute Guillaume Lovet. “Mais si ces hackers sont en effet liés à AntiSec, les scénarios possibles sont le vol de données sensibles, l’utilisation de serveurs compromis comme une base de lancement de déni de services (DDoS) ou la dégradation des sites Web qu’ils ont infiltré.”
Pour sécuriser les serveurs Web contre cette menace, Fortinet recommande la mise à jour de la dernière version de PhPMyAdmin.
A propos de l'auteur