WireX tourne les terminaux Android en zombies pour lancer des DDoS

Fut un temps où la faible bande passante accessible aux terminaux mobiles limitait considérablement leur potentiel pour lancer des attaques en déni de service. Mais avec les réseaux LTE, il en va tout autrement. La bande passante montante disponible peut même rendre les terminaux mobiles beaucoup plus intéressants, aux yeux de cyber-délinquants, que les objets connectés détournés à l’automne dernier en masse par Mirai.

C’est la conclusion à laquelle les créateurs de WireX semblent en tout être parvenus : ce botnet a regroupé jusqu’à plus de 120 000 appareils Android en même temps, lors d'une opération conduite début août. Ces terminaux zombies ont été utilisés pour lancer des attaques en déni de service distribué (DDoS) sur des serveurs Web, via des requêtes http GET, principalement. Les appareils concernés étaient répartis dans une centaine de pays.

Au total, environ 300 applications liées à l’incident ont été découvertes par Google dans son magasin applicatif, avant d’en avoir été supprimé, ainsi que des terminaux affectés : lecteurs multimédia, outils de gestion d’espace de stockage, de sonneries, etc.

Des chercheurs d’Akamai et de Cloudflare sont collaboré à la découverte du botnet des applications malicieuses utilisées par ses opérateurs. Mais ils n’ont pas été seuls à intervenir, loin s’en faut. L’enquête a également impliqué des experts de Dyn, Flashpoint, RiskIQ, Team Cymru, notamment.

Attaquer Android pour construire un botnet n’est toutefois pas nouveau. Déjà fin 2010, Lookout alertait sur Geinimi, un cheval de Troie analysé alors comme le premier à intégrer des fonctions caractéristiques d’un botnet, pour Android. L’an dernier, Incapsula avait détaillé une attaque DDoS menée à partir d’un botnet Android.