YXES, le botnet qui ébranle le processus de signature Symbian
Date : 07 Août 2009
Ce mois-ci, une forte médiatisation a remis au goût du jour un malware connu depuis février dernier pour s’être attaqué aux mobiles Symbian.
Ce nouveau malware se caractérise par une nouvelle « forme d’attaque » dans le monde mobile jusque là inconnue. Si celle-ci n’est en fait pas nouvelle dans le monde de la micro-informatique, elle l’est dans le monde de la téléphonie mobile.
En effet, les mobiles Symbian sont depuis février la cible d’un botnet et de ses variantes qui présentent la particularité d’exploiter un défaut du système de signature d’applications Symbian, plutôt qu’un défaut du téléphone mobile lui-même.
Apparu sous différentes formes, ce malware signé, s’installe sans aucun avertissement sur les mobiles de ses victimes. Identifié par certains éditeurs anti-virus sous le nom de « YXES », « YXE » ou encore « Sexy Space », ce dernier n’utilise pas de technique particulière pour infecter les mobiles de ses victimes.
Comment YXES arrive t’il sur un mobile ?
Puisqu’il ne peut être directement embarqué dans un SMS, les auteurs d’YXES utilisent un lien HyperText de redirection vers un site web hébergeant le malware. La plupart des mobiles, si ce n’est tous les mobiles modernes, permettent de cliquer sur un lien HyperText pour être automatiquement redirigé, comme le fait un simple navigateur Internet sur un PC. Il ne reste donc qu’à convaincre le destinataire du SMS de cliquer sur le lien. La technique est toujours la même et consiste à utiliser un contenu aguichant pour piéger l’utilisateur crédule. YXES propose pour sa part d’installer une application appelée « Sexy space » ou encore « Sexy View ».
En cliquant sur le lien, le site web malveillant télécharge automatiquement un fichier d’extension « SIS » qui se présente comme un package d’installation signé par Symbian. L’utilisateur ne reçoit pour avertissement que « Voulez-vous installer le package Oui ou Non ». Du fait de la signature, YXES passe pour une application « fiable » du point de vue du mobile. L’utilisateur n’a plus qu’à valider ou non son installation.
Nota : En l’absence de signature, le package aurait été intercepté par le système du mobile qui aurait mis en garde l’utilisateur par une série de fenêtres d’avertissement sur le fait que l’application pouvait potentiellement être malveillante.
Que fait YXES ?
Une fois exécuté, YXES se cache dans le système d’exploitation du mobile sous le nom "ACSServer.exe". Il vole ensuite de nombreuses informations liées au téléphone mobile, à son utilisateur (fournisseur d’accès, informations réseaux, numéro IMEI, etc.) qu’il transmet à un site web chargé de collecter les informations dérobées.
Une fois la collecte d’information effectuée, YXES tente de se propager. Pour ce faire, il s’envoie sous forme d’un message SMS vers tous les contacts trouvés sur le mobile de sa victime. Cette propagation peut être lourde de conséquence, car si dans certains cas elle se traduit par l’épuisement d’un forfait SMS, elle peut également se traduire par la surtaxe de tout envoi de SMS au-delà du forfait, ce qui se traduira finalement par une facture non négligeable pour la victime.
Nota : Plusieurs victimes d’YXES ont rapporté que les envois massifs de SMS ont eu pour conséquence, en plus des factures vertigineuses, le déchargement plus rapide qu’à l’accoutumée des batteries.
D’où vient YXES ?
L’origine d’YXES reste assez floue chez les éditeurs d’anti-virus, comme toute origine de malwares d’ailleurs puisque leurs auteurs en font rarement la publicité. Cependant dans le cas présent, cette identification est simple puisque les souches du malware sont signées. Il a donc été facile d’identifier les signataires et de déterminer qu’il s’agissait d’entreprises chinoises. En effet, plusieurs des variantes du code d’YXES ont été soumises pour signature par au moins trois compagnies chinoises dont « XiaMen Jinlonghuatian Technology Co. Ltd. », « ShenZhen ChenGuangWuXian Tech. Co. Ltd. » et « XinZhongLi TianJin Co. Ltd. ».
Les auteurs d’YXES, sont probablement aussi les auteurs d’un autre malware visant Symbian découvert courant juin sous le nom de « Transmitter.C ». En effet, ce dernier tentait déjà d’amener ses victimes vers les pages de téléchargement d’YXES. A la différence d’YXES, il n’était cependant pas signé. Sa particularité venait essentiellement des techniques utilisées pour mieux se propager. En premier lieu, il était capable de s’adapter à la langue de ses victimes, ce qui est une nouveauté en soi. Il pouvait également adapter les contenus des SMS envoyés aux contacts découverts sur le mobile, en fonction de leurs centres d’intérêts ; afin d’augmenter la probabilité que le destinataire soit infecté. Finalement, il était aussi capable de faire des envois massifs de SMS à raison d’un SMS toutes les 15 secondes.
Nota : Les certificats de ces entreprises indélicates ont été révoqués par Symbian. Toutefois il faut limiter la portée de ces révocations puisque la plupart des téléphones vulnérables sont configurés pour des mises à jour manuelles des listes de révocations. Ainsi, si l’utilisateur n’opère pas volontairement la mise à jour des listes de révocation ou s’il ne passe pas en mode automatique, il reste potentiellement une proie pour le malware.
Pourquoi ce nouveau malware est-il inquiétant ?
Il l’est car les différentes variantes qui circulent ont exploité un défaut du système de signature de Symbian et par conséquent ont contourné le mécanisme de confiance du système d’exploitation des mobiles. Cette faille dans le processus de signature est lourde de conséquence puisque le mobile ne peut différencier une application légitime d’une application malveillante. Le processus de signature de Symbian est donc à revoir.
Intéressons nous aux différents modes de signature d’application de Symbian, avant de parler de celui exploité par les auteurs d’YXES.
Processus de signature d’applications Symbian ?
Il en existe en effet plusieurs :
- Le mode “Auto-signé“ est le mode le plus basic. En fait ce mode n’implique aucune intervention de l’éditeur Symbian. L’application est signée par un certificat ne faisant pas autorité, qu’il sera nécessaire d’insérer dans le téléphone afin que l’application soit validée. Ce mode de fonctionnement est le plus facile et le moins onéreux, cependant son utilisation est limitée.
- Le mode “Open Signed Online” offre la possibilité de signer des applications en phase de test. Ce service est un service “béta“, nécessitant un enregistrement préalable. L’application doit répondre à des contraintes particulières liées au fait qu’il s’agit d’applications en tests.
- Le mode “Express Signed” offre un système de signature automatisé dit rapide, nécessitant un droit d’entrée, et facturé 20 dollars pour la signature d’une application.
- Le mode “Certified Signed“ est le mode privilégié et officiel pour toute application professionnelle. Les développeurs doivent être enregistrés et avoir acquitté un droit d’utilisation de 200 dollars. Toute signature d’application nécessite l’utilisation d’un code “Application Code Signing” (ACS) et d’un identifiant “Publisher ID“ remis aux développeurs ayant souscrit. De plus les applications signées par ce mode doivent être certifiées d’un point de vue qualité.
Quel mode de signature a été mis en défaut ?
Le mode incriminé est le mode « Express Signed ».
La première étape de ce processus est automatique. Il consiste dans un premier temps en un contrôle anti-virus. Cependant, face à de nouveaux virus ou des attaques 0day, ce contrôle ne peut être suffisant.
Une seconde étape, consiste ensuite à prélever des échantillons au hasard et à les envoyer à des équipes d’audit de code chargées d’étudier leur innocuité. Ici la probabilité qu’un code malveillant ne soit pas analysé dépendra du nombre de codes soumis pour signature. A titre d’information, Symbian signe environ plus de 2000 applications par mois.
Selon F-Secure, il semblerait que la plupart des applications soumises à ce processus ne soient jamais contrôlées par des auditeurs, mais subissent une procédure d’analyse de code automatisée expresse, ne pouvant réellement garantir l’absence de code malveillant dans les applications devant être signées.
Ce phénomène est-il nouveau ?
Les malwares visant les mobiles Symbian ne sont pas nouveaux. En janvier 2008, l’éditeur faisait déjà l’objet d’attaque par le ver BESELO (cf. bulletin des failles secondaires suivies de janvier 2008), qui tentait de se propager via les connexions Bluetooth ou à l’aide de messages multimédia MMS (Multimedia Messaging Service). Accompagné d’un contenu incitant un utilisateur peu vigilant à ouvrir la pièce jointe, généralement une photo, un fichier mp3 ou tout autre contenu multimédia, celui-ci était en fait un fichier d’installation SIS chargé de compromettre le téléphone mobile. L’utilisateur devait quand même accepter son installation sur son mobile, malgré les avertissements d’installation d’un programme non-signé. Autant dire qu’il compromettait son mobile en connaissance de cause.
Toutefois, il ne s’agissait pas là d’une première, notamment si l’on se souvient de celle contre Microsoft Pocket PC, qui déjà en 2004 avait été l’objet d’attaque par le cheval de Troie « Brador » (cf. bulletin d’août 2004).
En mars 2008, c’était à nouveau au tour de Microsoft de subir les attaques de son système mobile Windows CE, puisqu’un ver du nom de « InfoJack » installait des malwares sur les mobiles vulnérables à l’insu de l’utilisateur. Au-delà du fait que ce dernier volait les informations IMEI du téléphone et bien d’autres informations, celui-ci se propageait malgré l’absence de signature numérique.
Si l’on regarde globalement ces malwares, tous ont la particularité d’exploiter la crédulité des utilisateurs ou de s’installer par une action volontaire de l’utilisateur. Seul celui de Windows CE y fait exception, mais seulement car le malware exploite une vulnérabilité dans le système d’exploitation du mobile, sans quoi l’utilisateur aurait été informé. En fait, le mécanisme de signature des mobiles assure, ou assurait la protection contre des installations de code non approuvés.
L’usage veut donc que sur les plateformes mobiles, les applications soient signées. Ce modèle est également utilisé pour les plateformes informatiques, comme c’était le cas avec les authenticodes de Microsoft, ou la signature d’applications Java avec Sun.
Pour Symbian, ce modèle a montré ses limites. Les faiblesses du processus de signature exploitées par YXES nécessitent que l’éditeur prenne rapidement des mesures visant à garantir les installations d’applications sur les mobiles.
Conclusion
Bien que tous les mobiles basés sur Symbian OS séries 60 3ème édition (un certain nombre de modèles de Nokia, LG et Samsung) pourraient être la cible d’YXES, certaines bonnes pratiques permettraient simplement de ne pas être infecté. Il convient donc de rappeler qu’il :
- est important de connaître la source de toute application que l’on souhaite installer sur son mobile,
- ne faut pas cliquer sur les liens HyperText de messages SMS provenant de sources non sûres,
- est souhaitable de maintenir à jour les listes de révocations des certificats,
- existe des solutions anti-virus pour mobiles qu’il convient de tenir à jour.