L’éditeur F-Secure publie un rapport consacré à la menace mobile au second trimestre 2012. L’on y découvre une menace concentrée exclusivement sur Android, composée majoritairement de chevaux de Troie distribués via des places de marché alternatives, fortement motivée par l’appât du gain et avec relativement peu d’évolutions techniques.

Cette dernière caractéristique s’explique probablement par le verrouillage plus efficace des terminaux mobiles, qui rendent plus compliquée l’exécution de code malveillant avec les privilèges système (mais pas impossible). Cela encourage les auteurs de malware à adopter une approche d’ingénierie sociale pour pousser les victimes à installer leurs parasites. Le rapport mentionne toutefois l’apparition pour la première fois sur mobile de la technique de drive-by-download (infection à la visite d’un site web piégé) et du recourt à Twitter comme centre de Command & Control, ce qui démontre un travail en cours afin d’ouvrir de nouvelles voies d’infection et de contrôle à distance.

Mais l’information que l’on retiendra de ce rapport est surtout que la totalité des malwares observés dans la nature sont conçus pour Android, le système d’exploitation mobile de Google. Cela ne signifie certes pas pour autant que l’iOS d’Apple échappe aux menaces – en particulier sur les places de marché alternatives – mais plutôt que celles-ci ne semblent pas encore franchement répandues (et puis la première à être passé à travers les contrôles de l’App Store d’Apple en cinq ans l’a fait au mois de juillet, ce qui en fait techniquement une menace du troisième trimestre).

Android s’établi donc solidement comme la cible de toutes les menaces mobiles du moment, suivi de Symbian et, de manière anecdotique, de JavaME et de PocketPC.

Un peu plus de 80% de ces malwares sont des chevaux de Troie dont l’objectif est de dérober des données et/ou d’exploiter les fonctions du téléphone au profit du pirate qui l’a déployé (en envoyant des SMS à des numéros surtaxés notamment). Les autres vont de l’application publicitaire à l’outil de prise de contrôle à distance dont l’usage peut être détourné à des fins malveillantes.

Les informations collectées par les Chevaux de Troie peuvent varier mais l’on y retrouve très souvent l’identité du téléphone (numéro IMEI, numéro de téléphone et identifiant Android Marketplace). Ensuite, tout est possible, du contenu des SMS au carnet d’adresses en passant par les photos stockées sur l’appareil. Pour l’anecdote l’on y découvre même un parasite destructeur écrasant volontairement toutes les photos prises par l’utilisateur.

F-Secure observe également une régionalisation des malwares. L’on connaissait ce phénomène sur le PC, avec par exemple une forte distribution de Chevaux de Troie bancaires au Brésil. Désormais la pratique serait étendue aux parasites mobiles (l’éditeur cite l’exemple d’un malware destiné à intercepter les codes de validation SMS envoyés par les banques en ligne, qui serait essentiellement diffusé en Espagne).

Eviter le pire

Si la situation actuelle face aux malwares mobiles peut rappeler l’âge d’Or des virus sur PC, la bonne nouvelle c’est que les terminaux mobiles en 2012 sont tout de même mieux préparés que les PC d’avant 2000. Leurs systèmes d’exploitation sont mieux verrouillés, permettent moins facilement l’exécution de code avec les privilèges système et le principe de magasin d’applications permet un contrôle plus efficace sur les apps installées.

C’est pourquoi la mesure de protection la plus efficace consiste à ne pas autoriser le débridage de l’appareil et à ne télécharger les applications que sur le store officiel. Dans le cadre de terminaux d’entreprise et en l’absence de solution de gestion de flotte cela pourrait (devrait ?) faire partie de la charte d’utilisation de ces appareils.

Hélas, autant cela est (relativement) compliqué sur iOS, autant pour Android il suffit de désactiver un réglage par défaut afin d’être en mesure d’installer des applications depuis n’importe quelle source. Et bon nombre d’éditeurs d’applications tierces (pas nécessairement malveillantes) n’hésitent pas à demander à leurs utilisateur de le faire afin d’installer de leur application…