in

Quelles menaces virales ont ciblé les internautes au cours des 3 derniers mois ? Rapport trimestriel « Info Malwares » de Doctor Web

Chaque trimestre, l’éditeur antivrus Doctor Web, propose un bilan des grandes menaces – malwares/virus, trojans bancaires, etc. – ayant ciblées les internautes au cours des 3 derniers mois, via leurs applications, smartphones, navigateur web. Pour cette première édition, Doctor Web revient sur le trojan bancaire Flexnet, des fonctionnalités masquées dans le navigateur mobile UC Browser ou encore la vulnérabilité Zero-Day du célèbre jeu en ligne, Counter Strike.

Android, cible privilégiée pour diffuser de nombreux malwares/trojan en tout genre

  • Des malwares publicitaires diffusés en grand nombre via Instagram, YouTube et Google Play

Les experts Doctor Web détectent de manière de plus en plus régulière des trojans de la famille Android.HiddenAds sur Google Play. Ces malwares sont conçus pour afficher des publicités intempestives sur toutes formes de supports web. Ils sont ensuite dissimulés derrière des applications connues/utiles et inoffensives : des applications photo, des éditeurs d’images et de vidéos, des collections de fonds d’écran, des utilitaires système, des jeux et d’autres logiciels.  En février, 39 nouvelles modifications de ces applications ont été détectées et plus de 10 000 000 utilisateurs ont téléchargé ces applis. Certains de ces trojan sont diffusés par les pirates via Instagram et YouTube. La publicité diffusée via les réseaux sociaux et les ressources Internet populaires ont alors considérablement augmenté le nombre de victimes potentielles de ces applications malveillantes.

  • Un trojan exploite certaines vulnérabilités critiques d’Android

Les attaquants ont intégré le trojan Android.InfectionAds.1 dans un logiciel initialement inoffensif dont les copies modifiées sont ultérieurement diffusées via des catalogues tels que Nine Store et Apkpure. Les analystes de Doctor Web l’ont examiné alors qu’il utilisait plusieurs vulnérabilités dans le système d’exploitation Android. Repéré dans des jeux et applications telles que HD Camera, ORG 2018_19 Tabla Piano Guitare Robab Guitar, Euro Farming Simulator 2018 et Touch on Girls, Il affichait des publicités intempestives, contaminait et installait des applications malveillantes.

  • UC Browser pour Android : le navigateur mobile embarque une fonctionnalité masquée

Découverte début mars, cette fonction masquée représentait une menace potentielle par sa capacité à charger et lancer de nouveaux éléments non vérifiés (modules, bibliothèques) dans le navigateur UC Browser. La fonctionnalité vulnérable d’UC Browser pouvait notamment être utilisée pour effectuer des attaques de « l’homme du milieu », « man-in-the-middle » (MITM). L’application du navigateur était capable de télécharger des modules logiciels subsidiaires en outrepassant les serveurs de Google Play. Le navigateur recevait des commandes du serveur Command&Control et téléchargeait de nouveaux modules et bibliothèques qui ajoutaient des fonctions et pouvaient être utilisés pour mettre à jour le logiciel. Cette vulnérabilité menaçait tous les appareils tournant sous Android. Fin mars, UC Browser avait été téléchargé par plus de 500 millions d’utilisateurs.

Les menaces sur le web, OSX et Windows :

  • Le trojan bancaire Flexnet exploite des jeux en ligne

Analysé par Doctor Web, le trojan bancaire Flexnet s’attaque depuis février 2019, aux utilisateurs d’appareils sous Android. Ce malware volait de l’argent non seulement des cartes bancaires, mais également des comptes de téléphones mobiles. En utilisant ce programme malveillant, les pirates payaient des jeux en ligne, des services d’hébergement web et d’autres services. Flexnet a été créé à la base du trojan GM Bot. Il a été examiné par les analystes de Doctor Web en Février 2015. Le code source de l’application malveillante avait été publié en accès libre en 2016. Peu de temps après, les premières versions de Flexnet sont apparues. Les pirates le diffusaient via des spams envoyés par SMS. Ces messages proposaient aux victimes potentielles de visiter un lien et de télécharger un programme ou un jeu. Le cheval de Troie se déguisait en applications « My friends », GTA V, ou bien en des outils permettant de promouvoir des comptes sur les réseaux sociaux Instagram ou Vkontakte, ainsi que d’autres logiciels.

  • Counter-Strike 1.6, comment une vulnérabilité zéro-day du logiciel client du jeu a été exploitée

Le trojan.Belonard est un Cheval de Troie qui est parvenu à pénétrer sur les ordinateurs en utilisant une vulnérabilité du logiciel client de Counter-Strike 1.6. Une fois sur l’appareil, le trojan remplaçait les fichiers du jeu et la liste des serveurs de jeu disponibles. Il créait ensuite des serveurs proxy pour contaminer les autres utilisateurs. Ce schéma est généralement utilisé pour créer un réseau d’ordinateurs infectés, lui-même exploité pour promouvoir des serveurs de jeu pour de l’argent. Malgré la longévité de Counter-Strike, le nombre de joueurs utilisant les clients officiels CS 1.6 n’atteint aujourd’hui plus qu’environ 20 000 personnes en ligne, tandis que le nombre total de serveurs du jeu enregistrés sur Steam est supérieur à 5000. La vente, la location et la promotion des serveurs de jeu sont devenues un business réel et sont proposées en tant que services sur différents sites web. Les propriétaires de serveurs n’hésitent pas à payer pour ce type de services, ne sachant pas que des logiciels malveillants peuvent être utilisés pour promouvoir leur serveur. C’est la méthode utilisée par le développeur portant l’alias Belonard : son serveur contaminait les joueurs avec son trojan et exploitait leurs comptes pour la promotion d’autres serveurs.

  • Compromission du site et du logiciel gratuit d’éditions de vidéos VSDC 

Mi-avril, les chercheurs du laboratoire de Doctor Web ont découvert que le site officiel du programme populaire VSDC conçu pour l’édition de vidéos avait été compromis. Les pirates ont remplacé un lien de téléchargement et les utilisateurs téléchargeaient le trojan bancaire Win32.Bolik.2, ainsi que le stealer trojan.PWS.Stealer (KPOT Stealer) en parallèle du programme d’édition de vidéos. Pour ce site web, visité par 1,3 millions d’utilisateurs par mois, les mesures de sécurité étaient insuffisantes.

 

Retrouvez toutes les analyses du Lab Doctor Web : https://news.drweb.fr/list/?p=1&lng=fr&c=5

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.