Certains maliciels sortent du lot. C’est le cas de W32.Xpaj.B, classé parmi les plus complexes et sophistiqués en terme d’infection de fichier. Ce qui a piqué la curiosité des chercheurs, qui ont fini par découvrir une vaste infrastructure de « fraude aux clics », récupérant au passage toutes les statistiques de l’opération !

Nombreuses machines, nombreux développements,  plusieurs pays, le plein de clics, pour un gain (hors taxe !) de plus de 60.000 $ par an.

Gains en dollar entre septembre 2010 et juin 2011

Le principe, rappelons-le est de générer du revenu en détournant les différents systèmes de rémunération existants autour de la publicité sur internet, big business (!), et notamment basés sur les recherches lancées par les internautes. L’achat de mots-clefs qui propose l’affichage de liens « sponsorisés » représentent un chiffre d’affaire important pour les moteurs de recherche.

Par ailleurs, avez-vous déjà observé la soudaine pertinence des pubs et autres bannières après une recherche sur un bien de consommation ?

Tous les détails et de nombreux schémas dans le document suivant  : W32.Xpaj.B, Making easy mony from complex code

Un petit clic pour le plein de cash…

Il fallait s’y attendre, le remplacement progressif des vrais claviers par des écrans tactiles sur les bidules connectés va mettre au rencard les bons vieux keyloggers…mais alors, serait-ce la fin de la piraterie dactylographique?

Que nenni  !

Des chercheurs de l’Université de Californie ont démontré la possibilité de localiser et d’enregistrer les tapotages et autres glissades dorénavant usuelles sur nos écrans tactiles avec un taux de réussite de près de 72%, dans le cas d’un pavé numérique.

Pas de preuve d’existence de maliciels pour mobiles utilisant ce type de technique dans la nature à ce jour; mais bon… :-/

Pour les amateurs matheux les détails sont ici.

Dans la grande série « ON AURA TOUT VU », voici Android.Walkinwat, une fausse version de l’application Android Walk&Text.

L’application contrefaite est disponible sur certains sites de partages renommés, et se comporte de manière très intéressante !

Heureusement, le taux d’infection potentiel est très limité…

Dans un premier temps, l’application « sermonne » l’utilisateur quand à l’installation d’application, comment dire, illégitime :

Puis dans un second temps, vole les coordonnées du SmartPhone (nom, numéro, IMEI…) et après, envoie un message à tout le carnet d’adresse !

Finalement, il suggère à l’utilisateur berné de surveiller sa note de téléphone et lui propose d’acheter la vraie application Walk&Text…

Trop la honte !!!

Déjà observé lors du désastre Haïtien, c’est tristement reparti suite à la catastrophe Japonaise…donc mêmes recommandations :

• la plus grande prudence quant aux messages ou liens sur le sujet
• chaque fichier, lien ou même vidéo peut être piégé
• Se rendre directement sur les sites d’informations ou d’ONG si besoin.

Exemple type :

Evidemment, des noms de domaines « associés » commencent à fleurir :

3-11-2011-[removed].com
3-11[removed].com
earthquake-[removed].com
earthquaketsunami[removed].com
earthquakerelief[removed].com

Et il est plus que probable que certains résultats de recherches comprenant des mots-clefs tournant autour de cette actualité (sur des moteurs bien connus…), pointeront sans le savoir vers des sites compromis.

« Toutes les ambitions sont légitimes, excepté celles qui s’élèvent sur les misères ou les crédulités de l’humanité. »

Joseph Conrad.

Les grandes attaques virales ou méga campagnes de spam ont clairement tendance à se raréfier. Différentes raisons à cela : meilleur niveau de protection globale (mais encore loin d’être parfait…), un embryon de prise de conscience des risques du net, plus vraisemblablement une baisse des retours sur investissements pour les cyber-criminels et reports vers d’autres médias comme les réseaux sociaux et bien entendu, les smartphones.

Mais les choses évoluent, notamment vers des attaques très ciblées, ayant un but précis.

Et côté cyber-espionnage, on fait plutôt dans le furtif !

Ce n’est cependant pas une nouveauté. Depuis quelques années, nous voyons bien cette tendance s’affirmer et avons pu en dégager un modus operandi générique, qui se présente comme suit, avec quelques contre-mesures associées :

Etape 1, l’INCURSION :

Après avoir rassemblé suffisamment d’éléments, sur l’individu visé (parfois plusieurs), un message est envoyé, en provenance d’un émetteur plausible, sur un sujet du moment, poussant à ouvrir une pièce jointe ou cliquer sur un lien. Il est alors probable que le maliciel recherche et utilise une vulnérabilité existante sur le système (rare en effet sont les systèmes totalement à jour…) ou plus exceptionnellement une faille « 0Day ».

Dans la mesure ou la charge utile (et malveillante…) a été développée spécifiquement pour cette attaque, il y a très peu de chance qu’un anti-virus classique (donc essentiellement basé sur la détection de maliciels connus via leur « signature« ) ne détecte l’intru.

Contre-mesure : une technologie de détection basée sur la réputation sera beaucoup plus efficace contre ce genre de menaces : l’unicité d’un programme le rendant particulièrement suspect; une gestion fine des configurations limitera le nombre des vulnérabilités disponibles.

Etape 2, La DECOUVERTE :

Une fois derrière les murs, il s’agit d’identifier l’environnement et ainsi cartographier les accès, les serveurs, les réseaux, les systèmes de stockage…etc…etc…pour savoir comment progresser dans l’infrastructure et accéder à un maximum d’informations.

Contre-mesure : Le chiffrement des données, de répertoires rassemblant les informations sensibles, la gestion des accès aux documents, compliqueront considérablement ces opérations.

Etape 3, la CAPTURE :

Deux options ici, copier purement et simplement les documents présents et/ou mettre en place un autre maliciel (catégorie des APT : Advanced Persistant Threats), utilisant souvent des techniques de camouflages (rookits) pour rester en activité le plus longtemps possible. Leur travail va être de capturer, au fil de l’eau, différents types de données : ce qui est tapé au clavier, ce qui est envoyé par mail, ce qui est imprimé, et même en déclenchant le microphone de l’ordinateur (portable…) enregistrer les conversations alentour.

Contre-mesure : les technologies de détections de rootkits, un moteur de détection comportemental de dernière génération pourront identifier des activités étranges et la surveillance et la corrélation des évènements de sécurité à l’intérieur du réseau pourra identifier des incidents inhabituels.

Etape 4, l’EXFILTRATION :

Les informations copiées ou capturées doivent être « sorties » du réseau, sans attirer l’attention, et vers un ou plusieurs sites, pas forcément impliqués mais contrôlés à distance par les attaquants : ce n’est pas parce que l’adresse IP est au Groenland que le voleur est un ours blanc !

Contre-mesure : le filtrage de contenu en sortie de réseau permettra de détecter trafics et contenus étranges, chiffrés induement, vers des destinations nouvelles.

Bon, évidement, en vrai c’est largement plus compliqué, mais les moyens existent. Dès lors que l’on aborde le projet globalement, en prenant en compte les dimensions humaines, procédurales et technologiques, avec les moyens nécessaires, on peut arriver à un niveau de protection substantiel qui compliquera sérieusement la vie des cyber-barbouzes.

« Les ordres sont les suivants : on courtise, on séduit, on enlève et en cas d’urgence…on épouse ! »

Michel Audiard – Les Barbouzes.

Petite brève pour signaler que malheureusement les applications Android malveillantes ne se trouvent plus uniquement sur des « markets » parallèles, voir « underground » mais bien maintenant sur LE vrai « market android »

Avec le même type de fonctionnement et les mêmes possibilités ce celle décrites dans mon article précédent…

Ces applications auraient été téléchargées à plusieurs dizaine milliers d’exemplaires durant les 4 jours de présence, avant d’être retirées par Google.

Liste des applications infectées :

Editeur: kingmall2010

Applications:

• 掷骰子 Version 2.4.1
• 多彩绘画 Version 1.2
• Advanced App to SD Version 1.0.1
• Magic Strobe Light Version 1.0.1
• Advanced Compass Leveler Version 1.1.1
• Super Stopwatch & Timer Version 4.3
• Sexy Legs Version 1.0.01
• Sexy Girls: Japanese Version 1.0
• Bowling Time Version 1.8
• 软件强力卸载 Version 4.2
• Music Box Version 2.5
• Best password safe Version 1.0.5
• 墨水坦克Panzer Panic Version 1.0.0
• 裸奔先生Mr. Runner Version 1.0
• Hot Sexy Girls Version 1.0
• Super sex sound Version 1.3
• 致命绝色美腿 Version 1.0.01
• Super Bluetooth Transfer Version 2.30.1
• Advanced File Manager Version 1.1.0
• Advanced Barcode Scanner Version 1.0.1
• Task Killer Pro Version 1.0.1

Editeur : myournet

Applications:

• Spider Man Version 1.29
• 蜘蛛侠 Version 1.29
• Funny Paint Version 1.2
• Dice Roller Version 2.4.1
• 躲避弹球 Version 2.0.9
• Falling Ball Dodge Version 2.0.9
• Photo Editor Version 3.1.1
• Chess Version 2.6.1
• APP Uninstaller Version 1.6.0
• 几何战机_PewPew Version 1.5.3
• 下坠滚球_Falldown Version 1.0
• Falling Down Version 1.0
• Screaming Sexy Japanese Girls Version 1.0
• Hot Sexy Videos Version 0.1.10
• Super History Eraser Version 1.0.1
• Super Ringtone Maker Version 1.0.1
• Hilton Sex Sound Version 2.1.1
• Scientific Calculator Version 1.4.2
• Super Guitar Solo Version 1.0.1
• Super Sex Positions Version 1.0
• Advanced Currency Converter Version 1.0.1

Editeur : we20090202

Applications:

• Basketball Shot Now Version 1.4.0
• Omok – Five in a Row Version 3.1.1
• Super Sexy Ringtones Version 3.1.4
• 手指赛跑 Finger Race Version 1.4.5
• Magic Hypnotic Spiral Version 2.0.0
• Quick Notes Version 2.1.1
• 投篮高手 Version 1.4.0
• Quick Delete Contacts Version 1.0
• Advanced Sound Manager Version 2.0.0
• Color Blindness Test Version 2.1.1

A vérifier également la présence de « com.android.providers.downloadsmanager » (DownloadManageService) dans les paramètres “running services“ du smartphone.

Selon une étude publié en janvier dernier par le Gartner Group, le marché des applications pour smartphones se porte plutôt bien !

Quelques chiffre$ :

• 5 milliards de revenu généré en 2010
• 15 milliards de revenu estimé pour 2011, soit 190% d’augmentation
• 8,2 milliards d’applications téléchargées en 2010
• 17,1 milliards d’applications le seront en 2011
• Et près de 185 milliards de téléchargements depuis l’origine en 2008, à l’horizon 2014
• Le tout pour un total de plus de 50 milliards de chiffre d’affaire en 2014 !

OUF ! ça calme…..même en imaginant une sur-estimation de moitié, bref, cela en fait des sous !

Et là, les cyber-criminels se diraient : « bah, on a déjà assez gagné d’argent via les ordinateurs personnels, on va laisser les smartphones tranquilles« .

Sérieusement ?

Parlons maintenant de notre dernière trouvaille, j’ai nommé Android.Pjapps, cheval de Troie, qui en l’occurrence a été inséré dans l’incontournable application « Steamy Window » pour en créer une version infectée, disponible sur les marchés Android « parallèles »…pourtant absolument infréquentables, cela va sans dire.

Mais bon, certains s’y approvisionnent quand même et voilà le travail : un cheval de Troie Android, capable de monter un botnet, d’installer d’autres applications, naviguer sur le net, ajouter des signets, envoyer des SMS (Smishing), bloquer des messages entrants (ceux du fournisseur d’accès) et même renvoyer les informations confidentielles à l’auteur (EMEI, numéro d’appareil, numéro de téléphone…).

Il est donc toujours plus important :

1. de se limiter aux « appstore, markets » officiels ou le risque d’obtenir une application malveillante est bien moindre
2. de lire attentivement les demandes d’autorisation des applications
3. de s’intéresser à la protection des nouveaux appareils connectés, à titre personnel et professionnel.
4. d’envisager la mise en place d’outils de protection…il y en a…

…de sécurité !

Sauf dans le secteur bancaire, mais on s’en doutait.

Champ : sociétés de 10 salariés ou plus, France métropolitaine. Source : Insee, enquête TIC 2010, statistique publique

Et selon cette étude récente de l’INSEE que l’on peut trouver (avec tout plein d’autres statistiques intéressantes…) in extenso ici :

« Enquête sur les technologies de l’information et de la communication et le commerce électronique 2010« 

Je rappelle, à toutes fins utiles, qu’après l’analyse de risques, les politiques de sécurité sont LA BASE sans laquelle aucune vraie sécurité n’est possible.

Et comme selon ces chiffres, près de 80% des entreprises n’en auraient pas….cela donne une bonne idée de la situation !

Sachant qu’il ne s’agit pas d’une étude sortie par un vilain-éditeur-de-solutions-de-sécurité-informatique, qui fait ça rien que pour faire peur et vendre ses disquettes* !

« La politique a pour fin, non pas la connaissance, mais l’action. »

Aristote.

* disquette : pour les moins de 20 ans, c’est comme une toute clef USB toute plate, sur laquelle on ne pourrait…..plus rien mettre (1,44 Mo).

Très à la mode ces derniers temps, les dénis de services, en anglais « Denial of Services » (DoS) ou dénis de services distribués, « Distributed Denial of Services » (DDoS), dont le principe est de paralyser un site en le bombardant de très nombreuses vraies/fausses requêtes de connections. Imaginez un standard téléphonique avec 2 standardistes et 1000 personnes payées pour appeler en permanence…le service devient vite indisponible.

Alors, pour mémoire, une petite vidéo, très british, mais très claire sur le sujet :

Ce type d’attaque n’est pas récent et à toujours été difficile à gérer, bien que des solutions existent, s’il l’on y a pensé avant, et que des précautions ont été prises au niveau de l’hébergeur.

Le DDoS est utilisé pour exercer du chantage et extorquer de l’argent à des sites marchands ou de paris en ligne, en menaçant de les « faire tomber » (cf l’affaire CANBET, qui avait été rançonné par des cyber-criminels Russes, en prison depuis), ou encore paralyser des infrastructures plus larges comme lors de la cyber-attaque contre l’Estonie en avril 2007.

Les lancements de DDoS de ces derniers jours autour des affaires WikiLeaks, l’opération Payback etc…etc… fait bien partie de ce que j’appelle la 3ieme vague, dont font déjà partie les fameux Aurora et Stuxnet. Après les « petits malins » à lunettes, sans vrai but précis, puis les « cyber-criminels » uniquement motivés par l’appât du gain, voici les « Hacktivistes » à motivation « idéologique » (?!)…

Les 3 vagues :

Au passage, et juste pour le plaisir des yeux, une copie d’écran de l’outil L.O.I.C utilisé dans une partie des DDoS :

On reparlera bientôt plus en détails des ces « toolkits »…

Propre, l’interface est !

Maître Yoda.

Si, comme moi , vous l’aviez raté, ce reportage de Josh Rushing dans FAULT LINE sur Aljazeera English autour des tenants et les aboutissants de la Cyber-Guerre d’un point de vue étatsunien, est EXCELLENT, sur le fond et sur la forme, avec même Barbe-Rouge le Pirate (ou ZZ carrot-TOP ?)…

Car après Stuxnet, clairement classé dans la catégorie cyber-sabotage, compte tenu de son fonctionnement et ceci quelque fut la cible, la question des cyber-attaques à motivation politique ou idéologique se pose quand même (Cassandre sort de ce corps !). Notamment sur la manière et les moyens d’aborder ce type de risque, dont je rappelle les types de traitement génériques : Prévention, Acceptation, Réduction, Transfert.

Donc, un « MUST SEE » absolu si le sujet vous intéresse, même 30 minutes et en anglais, si si, j’insiste…:

Par chez nous, on appelle cela plutôt LID (Lutte Informatique Défensive) et LIO (Lutte Informatique Offensive), sujet qui semble moins souvent faire la une de nos médias…bien que des initiatives sérieuses ont été prises depuis la publication du Livre Blanc sur la Défense et la Securité Nationale à travers notamment la création de l’Agence Nationale de la Sécurité des Systèmes d’information – ANSSI. D’ailleurs, en septembre dernier, la France a participé pour la première fois à l’exercice CYBERSTORM, pendant international de notre PIRANET, pour faire court.

Si vis Pacem, Para bellum…ou pas.

Un romain.