Sécurité : Sus au botnet de terminaux Android WireX ! Un consortium d'acteurs de la sécurité regroupant notamment Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn s'est constitué pour combattre ce risque, qualifié de menace pour Internet dans son ensemble. 300 apps Android ont été supprimées.

Les chercheurs d'Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru et d'autres unissent leurs forces pour combattre WireX, un botnet qui prend pour cible les réseaux de distribution de contenu (CDN) et les fournisseurs de contenu.



WireX se compose principalement de terminaux Android exécutant des applications malveillantes à seule fin de déclencher des attaques en déni de service (DDoS), décrit un billet de blog publié par le nouveau consortium.



D'après les éléments compilés par les chercheurs, Google a identifié quelques jours plus tôt un logiciel malveillant disponible sur son Play Store. Ce dernier était implémenté dans des centaines d'applications. Le créateur d'Android a retiré les apps concernées et commencé à supprimer les applications infectées des terminaux compromis.



publicité

Des attaques d'au moins 70.000 IP de 100 pays



Le groupe de recherche estime que WireX aurait pu être actif depuis le 2 août. Cependant, ce sont des attaques le 17 août contre des CDN et des fournisseurs de contenu qui ont attiré l'attention.



Le 2 août, des attaques avaient été détectées, mais considérées comme mineures et étaient passées inaperçues, du moins jusqu'à des chercheurs commencent à s'intéresser, dans les logs, à la chaîne de 26 caractères du User-Agent.



"Ces attaques initiales ont été minimes et suggèrent que le logiciel malveillant était en développement ou aux premiers stades du déploiement" poursuivent les experts en sécurité.



Des attaques plus prolongées ont débuté le 15 août, dont certaines ayant pour source au moins 70.000 adresses IP en simultané. Après examen, il a été constaté que des terminaux de plus de 100 pays avaient participé à l'attaque du 17 août. Un événement inhabituel, selon le groupe de recherche.



WireX est une attaque DDoS volumétrique au niveau de la couche applicative.



Le trafic généré par les nœuds d'attaque émane principalement de requêtes HTTP GET, bien que certaines variantes semblent être capables de délivrer des requêtes POST, précisent les chercheurs.



"En d'autres termes, le botnet produit du trafic ressemblant à des requêtes valides de clients HTTP génériques et de navigateurs Web" observent-ils encore, notant que le botnet tire son nom d'une anagramme de l'une des chaînes de délimitation dans son protocole de commande et de contrôle.



Les premiers chercheurs à s'intéresser au botnet ont contacté leurs pairs d'autres organisations pour confirmer leurs analyses. Ce renfort a permis aux spécialistes d'enquêter sur les journaux d'historique et d'établir une connexion entre les IP des attaquants et un composant malveillant, potentiellement exécuté sur des systèmes Android.



300 apps du Google Play Store impliquées



"Nous avons identifié environ 300 applications associées au problème, les avons bloquées dans le Play Store, et nous sommes en train de les supprimer de tous les terminaux concernés" déclare Google, cité et impliqué dans l'étude du groupe de recherche.



Nombre des applications identifiées appartenaient aux catégories des lecteurs multimédias, des sonneries et d'outils tels que les gestionnaires de stockage et apps stores. Ces applications comportaient des fonctionnalités cachées supplémentaires passant inaperçues des utilisateurs finaux infectés, explique le blog.





"Lors du lancement des applications, les composants néfastes commencent leur travail en démarrant le service de sondage de commande et de contrôle qui interroge le serveur de commande et de contrôle, le plus souvent g.axclick.store, pour les commandes d'attaque. Lorsque les commandes d'attaque sont reçues, le service de parsing inspecte la commande d'attaque brute, l'analyse et invoque le service d'attaque avec les paramètres extraits" détaillent les chercheurs.



"Il est probable que ce malware ait été lié à la fraude au clic, mais réutilisé pour du DDoS".



Les bienfaits de la collaboration



À la suite des attentats Mirai, les chercheurs ont jugé que les groupes de partage d'information, comme celui formé pour combattre WireX, permettaient d'espérer de nouveau de résoudre les problèmes affectant Internet.



La propagation mondiale du ransomware WannaCry et l'épidémie Petya qui a suivi semblent illustrer les efforts croissants des cybercriminels pour développer des souches particulièrement virulentes de ransomware. Pour le consortium, cette tendance renforce encore plus la valeur de la collaboration face aux menaces.



"Cette recherche est passionnante, car il s'agit d'un cas d'étude démontrant combien est efficace la collaboration de l'ensemble de l'industrie" insiste Allison Nixon, directrice de la recherche en sécurité chez Flashpoint. "C'était plus qu'un rapport d'analyse de logiciel malveillant. Le groupe de travail a pu établir la connexion de la victime jusqu'à l'attaquant. Le groupe a également utilisé les informations pour mieux atténuer l'attaque et démanteler le botnet - et y parvenir très rapidement."



"Un botnet de cette taille extrême est préoccupant pour le bien de l'Internet dans son ensemble".

Article traduit et adapté par Christophe Auffray, ZDNet.fr

