Doctor Web : rapport viral du mois de septembre 2018

le 28 septembre 2018

Le mois de septembre 2018 a été marqué par la propagation d’un Trojan menaçant les clients d’organismes de crédit brésiliens. Les analystes de Doctor Web ont collecté plus de 300 échantillons de ce malware, et détecté environ 120 plateformes sur Internet où le Trojan bancaire téléchargeait ses composants. Un certain nombre de nouveaux malwares ciblant Android ont également été détectées au cours du mois de septembre.

Menace du mois

Les Trojans bancaires sont extrêmement répandus dans le monde entier depuis quelques années. Le nouveau banker, analysé par les chercheurs de Doctor Web en septembre et qui a reçu le nom Trojan.PWS.Banker1.28321 cible le Brésil. A ce jour, les experts de Doctor Web ont collecté plus de 340 échantillons du Trojan.PWS.Banker1.28321 et détecté 129 domaines et adresses IP de sites appartenant aux pirates et depuis lesquels le Trojan télécharge des archives contenant la bibliothèque malveillante.

Le Trojan se propage via un faux logiciel Adobe Reader. Il contamine les ordinateurs sous Windows dont la langue système est le portugais. Toutes les fonctions malveillantes du malware sont réunies dans une bibliothèque dynamique chiffrée et compressée dans une archive que le banker télécharge des sites pirates.

Lorsque les utilisateurs ouvrent des sites de banque en ligne appartenant à un certain nombre d'organismes de crédit brésiliens, le Trojan substitue discrètement les pages web pour afficher aux victimes un faux formulaire de saisie des identifiants. Dans certains cas, il demande d'entrer un code de confirmation reçu de la banque par SMS. Cette information est ensuite passée aux criminels. Nous avons décrit en détail cet incident dans l'article publié sur notre site.

Données des serveurs de statistiques de Doctor Web

JS.BtcMine

Scénarios en JavaScript conçus pour effectuer discrètement du mining.

Trojan.Encoder.567

Un des représentants de la famille des Trojans-Extorqueurs qui cryptent les fichiers de l'ordinateur infecté puis extorquent de l'argent pour les décrypter.

Trojan.SpyBot.699

Trojan espion destiné à intercepter les frappes clavier sur les dispositifs contaminés, exécuter les commandes reçues et voler des informations confidentielles.

Trojan.PWS.Stealer.1932

Représentant de la famille des Trojans ciblant Windows et capables de voler des informations confidentielles, y compris les mots de passe.

Statistiques relatives aux programmes malveillants détectés dans le trafic email

Trojan.Encoder.567

Un des représentants de la famille des Trojans-Extorqueurs qui cryptent les fichiers de l'ordinateur infecté puis extorquent de l'argent pour les décrypter.

JS.BtcMine

Scénarios en JavaScript conçus pour effectuer discrètement du mining.

Trojan.PWS.Stealer

Famille de Trojans conçus pour voler des mots de passe et d'autres données confidentielles.

W97M.DownLoader

Famille de Trojans Downloader qui exploitent les vulnérabilités des applications Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur infecté.

Ransomwares à chiffrement

Au mois de septembre, le service de support technique de Doctor Web a reçu des demandes d'aide de la part d’utilisateurs atteints par les modifications suivantes de Trojans Encoders :

• Trojan.Encoder.567 — 16,94% des demandes ;
• Trojan.Encoder.858 — 12,71% des demandes ;
• Trojan.Encoder.11464 — 10,68% des demandes ;
• Trojan.Encoder.25574 — 4,79% des demandes ;
• Trojan.Encoder.24249 — 4,42% des demandes ;
• Trojan.Encoder.11539 — 1,84% des demandes ;

Sites dangereux

En septembre 2018, la base de sites non recommandés par Dr.Web s’est enrichie de 271 605 adresses Internet.

Logiciels malveillants et indésirables ciblant les appareils mobiles

Au cours du mois de septembre, les experts de Doctor Web ont enregistré une fois de plus la propagation de Trojans de la famille Android.Click via le catalogue Google Play. Beaucoup d'entre eux sont des programmes que les pirates font passer pour des applications officielles de bookmakers. Ces Trojans ouvrent les sites web de bookmakers sur commande de leur serveur de gestion mais peuvent à tout moment télécharger n'importe quelle page web y compris des pages frauduleuses. De plus, le programme malveillant Android.Click.265.origin a de nouveau pénétré sur Google Play où il a été diffusé sous couvert de logiciels officiels d’éditeurs connus. Il télécharge des sites proposant des services premium et clique automatiquement sur les boutons confirmant l'abonnement à ces services onéreux.

Parmi les programmes malveillants détectés en septembre sur le catalogue officiel des applications Android, notons les Trojans bancaires Android.Banker.2855, Android.Banker.2856 et Android.Banker.283.origin dissimulés derrière des applications inoffensives à première vue.

De plus, au cours du mois de septembre 2018, les cybercriminels ont diffusé le Trojan Android.Spy.460.origin qui a été utilisé à des fins de cyber espionnage. Parmi les autres menaces, de nouvelles versions de logiciels espions commerciaux, tels que Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin et Program.Spymaster.2.origin. Ces applications surveillent les échanges via SMS, l'historique des appels téléphoniques, elles détectent la géoposition des appareils mobiles et copient la liste des contacts du répertoire vers un serveur distant, elles sont également capables de voler l'historique des navigateurs web ainsi que de voler d'autres données confidentielles.

Les événements les plus importants du mois de septembre relatifs à la sécurité des mobiles sont les suivants :

• détection d’applications malveillantes sur Google Play ;
• propagation d'un Trojan espion;
• détection d'un nouveau logiciel commercial conçu pour espionner les utilisateurs d'appareils mobiles Android.

Pour en savoir plus sur la situation virale et les menaces ayant ciblé les appareils mobiles au mois de septembre, consultez notre Rapport.