Sale temps pour Google : après la découverte, la semaine dernière, d’un spyware niché au sein du Play Store, Mountain View fait une nouvelle fois le ménage dans sa boutique d’applications. Environ 300 applications ont ainsi été supprimées du Play Store après que des chercheurs en sécurité informatique ont découvert leur réelle fonction. En l’occurrence, elles hackaient secrètement le smartphone Android en fournissant du trafic pour mener d’importantes attaques par déni de service.
Le botnet, nommé WireX, a attiré l’attention des chercheurs en sécurité informatique sur le réseau de diffusion de contenu Akamai lorsqu’il a été utilisé pour attaquer l’un de ses clients en début de mois. Celui-ci, un groupe hôtelier international, a été frappé avec le trafic de centaines de milliers d’adresses IP.
Un botnet dans des centaines d’app
« Nous avons identifié approximativement 300 applications au problème, les avons bloqué dans le Play Store, et nous sommes en train de les supprimer de tous les périphériques concernés », a expliqué un porte-parole de Google dans un communiqué. Les résultats des chercheurs, combinés à nos propres analyses, nous ont permis de mieux protéger les utilisateurs Android, où qu’ils soient ».
Ces applications vérolées fournissaient des services apparemment légitimes et inoffensifs, mais cachaient des logiciels malveillants pouvant être utilisés sur des appareils Android pour constituer un véritable réseau mobile zombie à même de participer à de multiples attaques DDoS. Pour peu que l’appareil soit sous tension, cela s’entend. Certaines de ces attaques étaient accompagnées d’un ransomware.
Aucun chiffre n’a été fourni quant aux nombres de mobiles infectés, si ce n’est celui de 70 000 avancé par un chercheur en sécurité d’Akamai au journaliste Brian Krebs.
Un coalition de chercheurs pour lutter contre WireX
Plusieurs chercheurs en sécurité informatique ont été mis sur l’affaire (Akamai, Cloudflare, Flashpoint, Oracle Dyn, Google, RiskIQ et Team Cymru), ils estiment que les dispositifs infectés sont répartis dans pas moins de 100 pays. Le chef de la sécurité de cloudfare :
« Une fois que la coalition s’est formée, les investigations se sont déployées rapidement autour de l’historique des journaux, ce qui a révélé une connexion entre les IP attaquantes et quelque chose de malveillant, et éventuellement en cours sur le système d’exploitation Android », ont déclaré les chercheurs dans une publication commune.
Ils rappellent également que la meilleure chose à faire en cas d’attaque DDoS est de partager des mesures détaillées liées à l’attaque. « Avec ces informations, ceux d’entre nous qui ont le pouvoir de démanteler ces programmes peuvent en apprendre beaucoup plus sur eux qu’il ne serait possible de le faire autrement ».
Gageons que ce ne seront pas les derniers déboires de Google et plus généralement des magasins d’applications. Des centaines d’applications sont crées et mises en ligne chaque mois, dont certaines malveillantes, qui passent entre les mailles du filet. C’est à l’utilisateur de s’intéresser un minimum à l’application qu’il télécharge sur son mobile.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Il serait tellement sécuritaire d envoyer l aps à Google qui la check et qui après le met lui même sur son store