Sur les traces d’un premier botnet sous Android

Au cours des six premiers mois de l’année, le nombre de terminaux mobiles Android infectés et communiquant en temps réel avec des cybercriminels a progressé jusqu’à approcher le nombre de 40 000, selon l’étude «Damballa threat report : First half 2011. » La contagion a été rapidement éradiquée mais, selon Damballa, les cybercriminels vont de plus en plus cibler les smartphones.
«Jusqu’à récemment, l’utilisation de logiciels malveillants pour terminaux mobiles a été limitée, dans une certaine mesure, à des fraudes aux SMS surtaxés ou à d’autres tactiques n’impliquant pas le recours à une architecture de type commande-et-contrôle, désormais commune aux attaques par botnet et logiciels criminels, » selon le rapport. «Qu’un logiciel malveillant mobile contacte un cybercriminel et établisse une communication bilatérale en ligne ouvre le terminal mobile à toutes les campagnes et activités criminelles que l’on connaît aujourd'hui avec un poste fixe. »

Une menace qui cible de plus en plus les mobiles

Les serveurs de commande et de contrôle sont utilisés pour envoyer des instructions aux terminaux contaminés qui composent le botnet. Ils collectent en outre des informations telles que la localisation géographique, les ressources système et l’utilisation. Les experts en sécurité n’ont pas manqué de souligner la menace croissante liée à la multiplication des terminaux mobiles sur les réseaux d’entreprises. Un terminal Android infecté susceptible d’être contrôlé à distance pourrait potentiellement permettre aux cybercriminels d’accéder au réseau de l’entreprise, explique Damballa. «Les systèmes de sécurité traditionnels conçus pour protéger les postes de travail conventionnels ne détecteront pas ces terminaux mobiles infectés. »

Au cours du premier semestre 2011, plus de 40 % des ordinateurs et serveurs infectés communiquaient activement avec un ou deux exploitants de botnets, selon le rapport de Damballa.

«Les logiciels malveillants peuvent changer de destination ; les botnets peuvent être loués ; et les smartphones et autres terminaux mobiles constituent des cibles attractives. 2011 sera une année difficile pour les équipes sécurité des entreprises et des fournisseurs de services réseau, » affirme le rapport. «Les cybercriminels ont encore l’avantage de la motivation, des financements et de la patience. »
Les machines infectées et contrôlées par des cybercriminels sont ciblées régulièrement, utilisées notamment pour des campagnes de contamination interminables. Le but est de diffuser le logiciel malveillant, de faire croître le botnet et, in fine, de dérober des codes d’accès et autres données. Damballa estime que 41,5 % des machines infectées participent activement aux opérations d’au moins deux botnets, soit une activité supérieure de 18 % à celle observée en 2010.

Cybercriminalité organisée

Selon Damballa, les infections de masse sont probablement portées par des activités cybercriminelles parfaitement organisées et structurées. Ces organisations gèrent des opérations de diffusion facturées à l’installation : le pirate paie un prestataire sur la base du nombre d’infections réussies. Les botnets sont également fréquemment loués pour lancer des campagnes de polupostage ou de diffusion de logiciels malveillants.

Le kit clés en main SpyEye a rendu prévalent le botnet «OneStreetTroop » au cours du premier semestre. Les codes SpyEye et Zeus ont été combinés par les cybercriminels au sein d’un unique package commercial. Selon Damballa,huit des 10 botnets les plus importants au premier semestre ont été créés par des kits de "crimeware" . Les exploitants de botnets «mettent à jour et enrichissent régulièrement leurs kits, suivant l’évolution des campagnes d’infection et des objectifs. »