Les smartphones sous Android suscitent une industrie du crime particulièrement active dans la création de malwares. Comme c’est dans les vieux pots que l’on fait les meilleures soupes, les développeurs des virus historiques, les renouvellent en permanence, les louent mensuellement, ce qui génère un chiffre d’affaires récurrent pour ceux qui les ont achetés, et qui les exploitent comme on trait un troupeau de vaches.
Android cible privilégiée
C’est ce que décrit Adrien Petit de la société CEIS, conseil en stratégie et management des risques. Il s’est exprimé le 11 janvier à l’occasion de la présentation du panorama de la cybersécurité par le Clusif, une association qui réunit une centaine de RSSI de grandes entreprises et des prestataires spécialistes de la sécurité.
Android est la cible privilégiée des pirates. Comparativement, les smartphones d’Apple sous iOS sont peu impactés. « Il y a eu AceDeceiver en mars 2016, qui s’attaque au système de DRM Fairplay, et en août 2016, il y a eu le malware Pegasus d’origine étatique, » précise l’expert.
Plusieurs raisons expliquent que les pirates privilégient Android. « Il y a la taille du parc installé, 84% des smartphones vendus au 1er trimestre 2016 étaient sous Android, et 16% sous iOS. De plus, il y a un fort niveau de contrôle sur le développement et la distribution des applications sur l’AppleStore, » dit-il. GooglePlay est plus permissif.
900 000 nouvelles souches de virus
Android est la cible favorite des cybercriminels. Rien qu’en 2015, il y a eu 900 000 nouvelles souches malveillantes de virus détectées. En juillet 2016, il y a eu la mise à disposition du rootkit HummingBad, et en novembre de la même année, il y a eu Gooligan qui pirate le compte Google et les logiciels connexes, et effectue des actions frauduleuses. « Il y a de plus en plus de ransomwares, » ajoute l’expert. Ce type de logiciel bloque le terminal ou en chiffre les données, et ne restitue le contrôle à l’utilisateur que contre le paiement d’une certaine somme d’argent.
Les vieux logiciels malveillants s’enrichissent d’une version sur l’autre. Cas typique : le malware Mazar. Il est particulièrement évolué. Il y a eu une vague d’attaques en début de 2016 avec ce malware. Via une porte dérobée, une « backdoor », il surveille et contrôle totalement le téléphone, il génère des revenus pour le pirate en envoyant des SMS à des numéros surtaxés. Il intercepte les SMS via des mécanismes 2FA.
Il peut mettre hors service le terminal, couper le son ou la vibration, et se défendre contre les antivirus en les bloquant. Ce malware qui circule désormais sous le nom Mazar 3 est vendu sous le nom GM Android VBV Grabber Bot sur les forums underground russophones depuis 2014.
Evolution permanente
Les virus ont une durée de vie très courte et ils ne cessent d’évoluer qu’il s’agisse de la famille GM (d’où est issu Mazar), la famille Rasche ou les autres tels que Cron Bot, Abrvall, Alten, etc. De nombreux malwares sophistiqués sont apparus tout au long de 2016. On citera Android KNL, proposé par Rasche, concurrent historique de Ganja_man depuis 2014, la nouvelle version s’intitule Marcher.
On citera également Bilal, qui possède peu de fonctionnalités mais présente une grande furtivité. Il existe également Cron bot, disponible pour Android (APK) et pour Windows (EXE). Pour autant, ce sont les malwares historiques qui sont les plus puissants. Il s’agit de Exo Android Bot et de Mazar 3. Ils vont jusqu’à effectuer du grabbing (captation d’informations) de cartes bancaires et de listes de contacts dans les applis.
Deux plaies
En fin d’année 2016, ces deux plaies étaient très étoffées fonctionnellement. Exo Android Bot est le successeur d’Android KNL et Marcher. Il fonctionne avec la version 7.1.19 d’Android. Il bénéficie d’une mise à jour hebdomadaire de la part de ses développeurs. Il est disponible uniquement à la location pour 750 $ par semaine ou 2400 $ par mois. Mais c’est le jackpot pour celui qui le loue.
Quant à Mazar 3, il est vendu par GM_Project. Il fonctionne jusqu’à la version 6 d’Android. Il effectue le grabbing de cartes bancaires et de listes de contacts dans les applis. Il réalise du html injects, des Apps Inject. Il en coûte 2500 $ (version APK), le prix a baissé jusqu’à 999 $ au 1er décembre.
De nouveaux acteurs sur le marché
Les acheteurs ont publié de nombreux avis positifs. Le retour sur investissement est particulièrement lucratif pour les malwares Android. Les malwares sont livrés avec un tableau de bord qui permet la supervision des termnaux infectés.
Dans le même temps, une nouvelle typologie d’acteurs fait son apparation dans ce paysage. Des magasins orientés App Injects voient le jour. On trouve des vendeurs spécialisés comme Kaktys et Candyman. Ces logiciels se diffusent par SMS avec un lien malveillant, sous la forme de fausses applications qui ont l’air d’être vraies.