Plus de 100 000 smartphones Android esclaves d'un botnet DDoS

Plus de 100 000 smartphones Android esclaves d'un botnet DDoS

Les victimes étaient infectées par des centaines d’applications en apparence inoffensives, diffusées par le Google Play Store.

On ne cesse de le répéter : attention aux applications que vous téléchargez, y compris sur le Google Play Store. Des chercheurs en sécurité viennent de démanteler WireX, un botnet spécialisé en attaques par déni de service distribuées (DDoS) et qui regroupait jusqu’à 120.000 smartphones zombies répartis dans plus de 100 pays. Ce n’est pas la première fois qu’un tel botnet est détecté. En septembre 2016, les chercheurs d’Imperva avait déjà mis le doigt sur un réseau de smartphones Android zombies destiné au DDoS et composé de plus de 26.000 nœuds.

Mais WireX est remarquable à plusieurs titres. Non seulement ce botnet était beaucoup plus large, mais en plus il s’est appuyé sur le Play Store pour se créer. En effet, les victimes ont été infectées au travers de plus de 300 applications diffusées par la boutique de Google. Elles avaient l’air totalement inoffensives en apparence. On y trouvait des lecteurs multimédias, des sonneries, des gestionnaires de stockage, etc.

Google nettoie les terminaux infectés

Une fois installées, ces applications se connectaient à un serveur de commande et contrôle qui leur transmettaient les ordres d’attaques. Ces malwares pouvaient également fonctionner en tâche de fond. Du coup, les terminaux infectés pouvaient lancer leurs attaques même si les applications n’étaient pas activement utilisées. Ces attaques prenaient concrètement la forme de requêtes HTTP GET ou HTTP POST, que l’on ne pouvait pas aisément distinguer du reste du trafic.     

Toutes ces applications malveillantes ont depuis été éjectées du Play Store. Google a également commencé à les supprimer sur les smartphones infectés. Ces malwares, qui peuvent encore être diffusés sur des boutiques alternatives, sont détectés par les antivirus sous le nom « Android Clicker ».