WireX : des centaines d’apps Android infectées au service d’un botnet

Philippe Guerrier,
wirex-botnet-attaque-ddos-google-play

A la mi-août, Google Play et son catalogue d’apps ont servi de levier pour une importante attaque DDoS par botnet, qui a attiré la curiosité des experts de sécurité IT à plus d’un titre.

Un panel de chercheurs de sécurités IT issus de plusieurs fournisseurs de solutions d’infrastructures et de sécurité IT (Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ…) s’est intéressé au cas du botnet WireX.

Celui-ci s’est appuyé sur la connexion de plusieurs centaines de milliers de terminaux Android pour lancer des attaques par déni de service distribué (DDoS).

 Des apps infectées sur Google Play (player média, stockage de fichier, téléchargement de sonneries…) ont été utilisées pour mener l’assaut dans une configuration rarement signalée jusqu’ici, selon Silicon.co.uk.

WireX est sorti de l’ombre lors d’un assaut survenu le 17 août lors d’une attaque DDoS visant des fournisseurs de contenus en ligne qui collaborent avec des spécialistes de la diffusion accélérée de contenus via le Web (CDN) comme Akamai.

Le botnet a impliqué jusqu’à 120 000 adresses IP et a généré des volumes de sollicitations pouvant atteindre 20 000 requête HTTP à la seconde sur les sites Web visés, provoquant une saturation au niveau des serveurs (« un impact significatif mais gérable » selon les experts).

La coalition de chercheurs a remonté la piste de l’assaut qui a mené à des apps Android infectées qui avaient été téléchargées sur Google Play.

Google a éjecté 300 apps infectées de sa place de marché et la fonction de protection Google Play Protect a été réactualisée pour éviter les débordements en termes de téléchargements.

wireX-botnet-google-play-ddos
exemple d’apps infectées sur Google Play

Autre caractéristique relatif à WireX : le botnet s’est répandu dans une centaine de pays. Une propagation inhabituelle pour ce type de malware, selon les chercheurs de sécurité IT qui se sont intéressés à ce cas d’infection.

Des traces de WireX ont également été trouvées sur d’autres marketplace « bien connues » mais les experts restent discrets sur les noms des autres plateformes de propagation potentielle.

Dans leurs investigations numériques, ils ont déterminé que les terminaux « sous influence » WireX avaient embarqué une fonction de détection d’user agent (une chaîne de caractères exploitée en cas d’usage d’un navigateur Web ou d’une app) conçue à partir des 26 lettres de l’alphabet dans le désordre.

Les chercheurs ont également déterminé qu’une attaque précédente mais de moindre impact était survenue le 2 août.  On peut en savoir plus via une contribution blog d’Akamai en date du 28 août.