Google, avec l'aide de plusieurs sociétés informatiques, a repéré un botnet qui utilisait des applications Android pour s'installer sur les terminaux des utilisateurs et ensuite mener des attaques informatiques.

Sécuriser Android est un travail de Sisyphe pour Google. Qu’il s’agisse de la protection du système d’exploitation ou de la fiabilité des applications figurant sur Play, la firme de Mountain View doit en permanence intervenir pour colmater des failles ou retirer des logiciels au comportement inapproprié. Mais parfois la tâche est telle que même pour Google, un peu d’aide ne serait pas de refus.

Justement, du soutien, Google en a reçu face aux activités malveillantes du botnet WireX, dont l’existence a été découverte en août. Afin de le rendre inopérant au plus vite et qu’il ne fasse pas trop de dégâts, une coalition d’experts issus de plusieurs compagnies informatiques (dont AkamaiCloudflareFlashpoint, Oracle Dyn, RiskIQ et Team Cymru) s’est constituée afin d’identifier les applications Android fautives.

La croissance estimée de WireX selon le nombre d’adresses IP uniques impliquées dans les attaques.

« Nous avons identifié environ 300 applications associées au problème, nous les avons bloquées dans le Play Store, et nous les supprimons de tous les périphériques concernés », a déclaré un porte-parole de Google. « Les résultats des chercheurs, combinés à notre propre analyse, nous ont permis de mieux protéger les utilisateurs d’Android, où qu’ils soient ».

Un exemple d’application utilisée par WireX pour s’inviter sur les terminaux Android.

Afin de pénétrer plus facilement les smartphones et les tablettes des propriétaires de terminaux Android, les applications proposaient des fonctionnalités inoffensives, mais tentantes, comme des sonneries, des outils de gestion de l’espace de stockage ou des lecteurs de vidéo. Naturellement, les activités réelles de ces applications étaient cachées aux yeux des utilisateurs.

Une fois installées, elles permettaient de mener des attaques DDoS (Distributed Denial of Service, c’est-à-dire une attaque par déni de service distribuée), qui consistent à submerger un serveur par des requêtes pour qu’il ne puisse plus plus traiter les demandes qu’il reçoit. Il devient alors inaccessible pendant quelques temps, selon l’insistance du ou des attaquants et de la réactivité de la victime.

L’une des victimes de WireX, cliente d’Akamai, une entreprise qui propose des serveurs de cache pour les entreprises (ce qui sert à dupliquer le contenu d’un site web et le mettre à disposition des internautes, permettant ainsi de répartir les requêtes, ce qui a du sens lorsque le trafic du site web est particulièrement important), a ainsi reçu des requêtes provenant de centaines de milliers d’adresses IP.

En tout, selon des chercheurs impliqués dans la lutte contre WireX, l’opération aurait infecté jusqu’à 70 000 appareils répartis dans une centaine de pays. Google, de son côté, continue d’évaluer la portée exacte du l’infection.

Partager sur les réseaux sociaux