Lookout décortique l’industrie des arnaques aux SMS surtaxés

Lookout s’est penché sur les activité frauduleuses de plates-formes pirates vivant d’arnaques aux SMS surtaxés et autres malwares mobiles.

D’où proviennent les arnaques aux SMS surtaxés ? Comment l’arnaque est-elle structurée ? Qui sont les organisations qui les mettent en œuvre ? C’est pour tenter de répondre à ces questions (et bien d’autres) que l’éditeur californien de solutions de protection pour smartphones et tablettes Lookout a présenté, dans le cadre de la conférence de hacker Def Con 21 (du 1er au 4 août à Las Vegas), une étude sur les fraudes en question.

Démarrée en décembre 2012, l’enquête baptisée « Dragon Lady » (en référence aux avions de reconnaissance U2 chargés de surveiller l’Union soviétique pendant la Guerre froide) se concentre sur une dizaine de plates-formes pirates à l’origine de plus de 60% des programmes malveillants russes repérés par Lookout. Pourquoi russes ? Notamment parce que, statistiquement, plus de 50% des menaces détectées par l’éditeur au cours de l’année étaient des arnaques aux SMS d’origines russes, principalement sur les systèmes Android, première plate-forme du marché en nombre d’utilisateurs.

Page pirate visant à inciter le visiteur à télécharger et installer le malware sur son mobile.
Page pirate visant à inciter le visiteur à télécharger et installer le malware sur son mobile.

Un mode opératoire classique

Le mode opératoire est relativement classique : en haut de la pyramide, des organisations pirates (« Malware Headquarters ») délivrent en ligne des outils de programmes malveillants en direction de distributeurs affiliés qui exploitent des milliers de sites web. Ces organisations proposent également une plate-forme de génération de SMS surtaxés pour Android facile à configurer, gère les SMS (numéros courts) et s’occupent de la logistique. Les affiliés personnalisent les programmes malveillants, lesquels peuvent prendre l’apparence d’une application populaire (comme Adobe Flash, Skype, Google Play, des jeux, des MP3, des contenus pornographiques, etc.) et génèrent les campagnes de pishing chargées de pousser les utilisateurs à télécharger et installer sur leurs smartphones les malwares en question.

A partir de là, les victimes qui ont installé le programme malveillant se voient facturer des SMS surtaxés, de manière discrète, et rémunèrent à leur insu les organisations criminelles. Selon Lookout, ces escroqueries rapportent en moyenne entre 700 et 12 000 dollars mensuellement à leurs auteurs, voire plusieurs dizaines de milliers de dollars pour l’un d’entre eux. Notons que si le SMS surtaxé est une méthode efficace, il existe d’autres types de programmes malveillants comme le faux antivirus visant à figer les fonctions du terminal qui ne pourra être débloqué qu’après versement d’une « rançon ».

Les cybercriminels n'hésite pas à usurper des logos de marques (ici Red Hat) pour pousser, depuis Twitter, les utilisateurs sur leurs pages pirates.
Les cybercriminels n’hésitent pas à usurper des logos de marques (ici Red Hat) pour pousser, depuis Twitter, les utilisateurs sur leurs pages pirates.

Twitter, canal de diffusion

Nombre de canaux de diffusion sont utilisés mais les publicités pour mobiles (lire Sécurité : BadNews pour Android) et Twitter semblent privilégiés. Sur environ 250 000 comptes Twitter étudiés, Lookout en a ainsi décelé près de 50 000, et environ 250 000 tweets, qui renvoyaient vers des programmes malveillants. Chiffres qui soulignent l’importance qu’accordent les pirates aux plates-formes sociales pour attirer leurs victimes dans leurs filets. Les cybercriminels n’hésitent pas à usurper des marques (le logo de Red Hat, par exemple) ou utiliser l’illustration par défaut proposée par Twitter (un œuf) comme images de leurs comptes.

D’autre part, les plates-formes pirates s’organisent de manières toujours plus professionnelles pour gagner en efficacité. D’abord en cumulant plusieurs techniques simultanément pour rendre inaperçu le code malveillant, tant dans le programme en lui-même que dans sa diffusion : code plus sophistiqué, brouillage du code, chiffrage des fichiers de configuration, mises à jour régulières, trafic filtré sur les pages des affiliés, etc. Ensuite, en proposant des services prêts à l’emploi et entièrement personnalisables (de l’OS visé au taux de conversion) aux affiliés ainsi affranchis des problématiques techniques. Elles vont même jusqu’à les stimuler par de véritables concours des « meilleurs vendeurs » et à informer régulièrement de l’évolution de leurs offres à coup de newsletter et autres billets de blogs. Une véritable industrie criminelle qui a aujourd’hui parfaitement su adapter ses méthodes frauduleuses à l’environnement mobile.

S’en tenir au store officiel

Il va sans dire que les utilisateurs qui ont installé les solutions de Lookout sont protégés contre ces menaces (du moins, celles identifiées). Mais le plus simple et sécurisant est encore de n’installer que des applications fournies par le store officiel de la plate-forme (ou celui délivré par son entreprise) même si ce n’est pas infaillible.


Voir aussi

Silicon.fr en direct sur les smartphones et tablettes

Silicon.fr fait peau neuve sur iOS

Silicon.fr étend son site dédié à l’emploi IT