Le premier trimestre 2008 a été riche en nouveautés dans le domaine de la virologie mobile. Nous observons la poursuite du développement des technologies et l’augmentation du nombre de participants, aussi bien parmi les auteurs de virus que parmi les éditeurs de logiciels antivirus.
Les nouveautés en la matière se répartissent de manière plus ou moins égale entre les quatre systèmes d’exploitation pour Smartphone, cibles principales des menaces. Il s’agit de Symbian, Windows Mobile, J2ME et iPhone.

Selon les dernières recherches des experts du laboratoire de Kaspersky Lab à Moscou, s’agissant de Symbian, un nouveau ver a été identifié appartenant à une famille indépendante. Jusqu’à présent, nous connaissions uniquement deux fondateurs de ce genre : le ver Cabir diffusé via BlueTooth et le vers ComWar diffusé à l’aide de MMS ainsi que leurs diverses variantes.

Vers la fin du mois de décembre 2007, ce qui ressemblait à un clone de ComWar, la version .y, fit son entrée dans les bases antivirus. Toutefois, son apparition au mois de janvier dans le trafic mobile de l’un des plus grands opérateurs nous amena à nous pencher un peu plus sur ce nouvel exemplaire.
L’analyse réalisée par notre partenaire F-Secure, une société finnoise, a montré qu’il s’agissait en réalité d’une toute nouvelle famille qui n’avait aucun rapport avec ComWar, créé il y a trois ans en Russie.

Le principe de fonctionnement du ver, qui a reçu la classification Worm.SymbOS .Beselo.a (la variante Beselo.b fut identifiée un peu plus tard), est similaire à celui de ComWar et reste classique pour les vers de ce type. La propagation a lieu par l’intermédiaire de la diffusion de fichiers SIS infectés via MMS ou Bluetooth. Une fois qu’il a été ouvert sur l’appareil attaqué, le ver se propage aux contacts du carnet d’adresses du téléphone intelligent ainsi qu’à tous les périphériques accessibles dans le rayon d’action Bluetooth.

La nouveauté est liée à l’apparition d’une nouvelle famille active de vers mobiles (et d’auteurs de virus actifs) et à l’existence de ce ver dans la nature. Il se peut que les nouvelles modifications de Beselo puissent déclencher des épidémies locales sérieuses, comme ce fut le cas au printemps de l’année dernière à Valence lorsque 115 000 utilisateurs de téléphones intelligents furent victimes d’une version espagnole de ComWar.

Vol d’information sous Windows Mobile

L’apparition d’un programme malveillant pour Windows Mobile, une plate-forme jusqu’alors épargnée par les auteurs de virus, mérite à elle seule d’être citée. Mais la découverte, à la fin du mois de mars 2008, du cheval de Troie InfoJack.a est intéressante à plus d’un titre.
InfoJack.a :

1. attaque Windows Mobile ;
2. découvert dans la nature ;
3. diffusé en Chine ;
4. vole des informations.

Il s’agit du premier code malveillant de l’histoire pour Windows Mobile à circuler et à provoquer des infections. La propagation a eu lieu depuis un site chinois proposant divers logiciels (licites). Le cheval de Troie a été ajouté à la distribution de logiciels mobiles tels que le client pour Google Maps ou des jeux. Le propriétaire du site, source de la diffusion du cheval de Troie, a déclaré qu’il n’avait aucune intention criminelle et qu’il récoltait des informations sur ses visiteurs uniquement dans le but d’améliorer le service et d’analyser le marché des applications pour appareils nomades.

Une fois dans le système, le cheval de Troie tente de désactiver la protection contre l’installation d’application dépourvue de la signature numérique de l’éditeur. Lorsque le téléphone intelligent se connecte à Internet, InfoJack commence à envoyer vers son propre site des informations privées depuis le téléphone (numéro de série du téléphone, informations relatives au système d’exploitation ou aux applications installées). Il peut en même temps télécharger sur le téléphone des fichiers complémentaires et les exécuter (sans notification de l’utilisateur, car la protection contre l’exécution d’applications non signées est désactivée). Après quelques jours d’activité, le site fut mis hors ligne, probablement à la suite d’une enquête menée par la police chinoise.

Nous savons ce qui se passe lorsque les auteurs de virus se montrent attentifs aux services grand public (les attaques contre Orkut au Brésil). La Chine est le leader incontesté d’après le nombre de programmes malveillants créés sur son territoire : à l’heure actuelle, plus de 50 % de l’ensemble des nouveaux programmes malveillants dans nos bases antivirales sont d’origine chinoise. Jusqu’à présent, les pirates informatiques chinois ciblent surtout les utilisateurs de jeux en ligne sur les ordinateurs personnels. Toutefois, InfoJack démontre l’existence en Chine de la possibilité d’organiser des épidémies de masse et de créer des virus pour appareils nomades.

La Chine fut le premier pays victime du cheval de Troie pour Windows Mobile. Il se peut que l’auteur d’InfoJack ne poursuivît pas des buts criminels, mais les bases ont été posées et cet exemple pourrait être suivi par des milliers de pirates informatiques chinois qui développeraient cette fois-ci des virus pour les ordinateurs personnels.