Un malware était caché dans des applications banales hébergées sur le Play Store, mais qui exploitaient les appareils pour lancer des attaques par déni de service.

On ne le répétera jamais assez : la méfiance est toujours de mise lors de l’installation d’applications, surtout quant aux autorisations demandées. Un rapport maintenant public et partagé par différents acteurs du monde de la sécurité informatique indique qu’environ 70 000 appareils de plus de 100 pays ont été compromis par un logiciel malveillant, causant des attaques DDoS à l’échelle mondiale.

L’attaque

Le malware en question, nommé WireX, est de type botnet (réseau de robots). Les chercheurs l’ont détecté dans pas moins de 300 applications diverses, allant du nettoyeur aux lecteurs de vidéos YouTube en passant par les apps pour changer de sonnerie. D’après les analyses basées sur le user agent utilisé (identifiant du navigateur), il se trouve que les hostilités ont été lancées à partir du 13 juillet, lorsque le malware n’en était qu’à son premier stade. Son code a été amélioré pour faire davantage de victimes et multiplier les attaques, au point que son comportement a alerté les experts à partir du 7 août où 120 000 appareils zombies participaient au bombardement du réseau.

Les permissions demandées par le botnet. Il veut notamment passer outre le verrouillage et fonctionner en arrière-plan.

Le mode opératoire

Toutes les applications infectées nécessitaient les pleins pouvoirs sur l’activité réseau et demandaient également à l’utilisateur les droits administrateur de l’appareil, notamment la permission de verrouillage, pour fonctionner en arrière-plan avec l’écran éteint même lorsque le terminal n’est pas utilisé. Bien entendu, pour atteindre son but avec un maximum d’efficacité, le malware lançait différents services et processus en fond de tâche.

Le malware en pleine action.

Cible éliminée

Grâce à la collaboration d’Akamai, Cloudflare, Flashpoint, Google, RiskIQ, Team Cymru… ainsi que le FBI, 300 applications responsables hébergées sur le Play Store ont été supprimées. À noter que l’outil de sécurité maison de Google, Play Protect, bloque désormais l’installation des applications incriminées, mais certains sites de partage d’APK pointent encore vers ces fichiers suspects.

Des menaces quotidiennes

Android est quotidiennement la proie d’applications malveillantes et, même si Google met en œuvre de multiples mesures pour protéger sa plateforme de téléchargement ainsi que les appareils tournant sous son OS, cela n’empêche pas les hackeurs et autres personnes malintentionnées de passer à l’action. En l’espace de trois mois, nous avons par exemple eu droit à Xavier, SonicSpy ou encore Faketoken.

Comment se protéger

Pour se prémunir et garder votre terminal à l’abri de toutes ces menaces, il est grandement recommandé de télécharger uniquement via des plateformes de confiance, ne pas activer l’installation via les sources inconnues, bien vérifier les autorisations demandées (une application lambda qui exige l’accès à votre appareil photo ou vos contacts, c’est louche), récupérer régulièrement les mises à jour logicielles des applications et de votre ROM, et enfin effectuer souvent des sauvegardes pour ne pas perdre vos données !