WireX est un botnet de plus de 120.000 adresses IP situées dans 100 pays. C’est l'un des premiers et certainement à ce jour l'un des plus grands botnets DDoS basés sur Android, alimenté par des applications proposées sur Google Play. Réparties partout dans le monde via des téléphones, les attaques ont surpris les experts en sécurité…
Près de 300 applications disponibles sur la place de marché des Apps Android Google Play ont permis, depuis le 2 août dernier, la création d’un botnet de plus de 120.000 adresses IP situées dans près de 100 pays pour constituer un réseau de zombies qui sert de base de lancement au premier malware DDoS connu.
Le premier malware DDoS sur Android
Après la funeste attaque qui l’an passé s’est appuyée sur des millions de caméras connectées réunies en réseaux zombies, en particulier en France, une nouvelle menace, WireX, profite des faiblesses en matière de sécurité des objets connectés, ici des téléphones et tablettes Android (le système d’exploitation mobile de Google), pour mener de puissantes attaques DDoS (déni de service) en supportant un trafic massif et indésirable vers des sites web ciblés afin de les bloquer voire les déconnecter.
A son apogée, le trafic vérolé qui a circulé sur le botnet contrôlé WireX a été composé d’environ 20.000 requêtes HTTP par seconde venant de smartphones répartis dans le monde. La faiblesse du volume des attaques peut surprendre, mais celles-ci étaient canalisées sur des cibles précises, il était donc important sur les sites attaqués. Ce qui a forcé les opérateurs, une fois WireX repéré, à augmenter leur puissance de feu !
L’union fait la force, pour attaquer comme pour se défendre
Confrontant le résultat de leurs recherches, 7 experts en sécurité - Akamai, Cloudflare, Cymru, Dyn (Oracle), Flashpoint, Google, RiskIQ – ont pu comprendre l’origine des attaques. Elles ont été identifiées via une signature de 26 lettres minuscules dans des commandes en anglais présentes sur tous les navigateurs attaqués. L’application zombie twdlphqg_v1.3.5_apkpure.com.apk a ainsi pu être repérée, qui a mené vers les 300 applications de Google Play qui la véhiculent afin d’être bloquées et retirées des équipements infectés.
Ces applications se faisaient principalement passer pour des lecteurs multimédia, des gestionnaires de stockage, ou des sonneries. Elles ont été programmées pour fonctionner en arrière-plan, même lorsque les applications ne sont pas activement utilisées. Dans les coulisses, les appareils infectés ont ainsi envoyé les demandes vers des sites ciblés, en rythme avec d'autres appareils infectés. Les chercheurs n’ont cependant pas communiqué les noms des applications malveillantes.
La sécurité de l’IoT une nouvelle fois en question
L'avènement des logiciels de botnet avec des noms comme Mirai, Bashlight, ou encore WireX vient rappeler que les périphériques IoT sont mal voire pas sécurisés. Les objets connectés émergent comme les principales menaces pour la stabilité de l'Internet. Une faiblesse en grande partie résultat de plusieurs décisions de fabrication, y compris l’adoption d’un même mot de passe administrateur par défaut dans chaque appareil, et, dans certains cas, le contrôle administratif à distance qui est activé par défaut.
En infectant les applications Android disponibles dans Google Play, les attaquants DDoS ne font qu’exploiter une plate-forme largement utilisée et dont le vieillissement se révèle être une faiblesse.
Image d’entête 622922322 @ iStock LisLud
