Un botnet Android menaçant prospère encore 16 mois après être venu à la lumière

Un botnet Android menaçant prospère encore 16 mois après sa révélationLogiciel EnlargeCheck Point

En 2016, des chercheurs ont découvert un botnet infecté Les téléphones Android en postes d’écoute discrets qui pourraient siphonner données sensibles hors des réseaux protégés. Google à l’époque dit il a supprimé les 400 applications Google Play qui ont installé le programme malveillant code de botnet et pris d’autres “actions nécessaires” non spécifiées pour protéger les utilisateurs infectés.

Lectures complémentaires

Plus de 400 applications malveillantes s’infiltrent dans Google Play

Environ 16 mois plus tard, un pirate informatique a fourni des preuves que le soi-disant réseau de botnet DressCode continue à prospérer et peut asservit actuellement jusqu’à quatre millions d’appareils. Les infections pose un risque important, car les téléphones utilisent les SOCKS protocole pour ouvrir une connexion directe aux serveurs attaquants. Les attaquants peut alors tunnel dans les réseaux domestiques ou d’entreprise auxquels les téléphones appartiennent à une tentative de vol de mots de passe de routeur et de sondes connectées ordinateurs pour les vulnérabilités ou les données non sécurisées.

Pire encore, une interface de programmation que la commande de l’attaquant et le serveur de contrôle utilise pour établir la connexion n’est pas crypté et ne nécessite aucune authentification, une faiblesse qui permet aux autres attaquants à abuser indépendamment des téléphones infectés.

“Puisque l’appareil ouvre activement la connexion au C2 serveur, la connexion passera généralement par des pare-feu tels que ceux trouvé dans les routeurs domestiques et SMB “, Christoph Hebeisen, chercheur � société de sécurité mobile Lookout, a déclaré après avoir examiné les preuves. Hebeisen continua:

Une fois la connexion ouverte, celui qui contrôle l’autre extrémité de il peut maintenant tunneler via le périphérique mobile dans le réseau pour auquel l’appareil est actuellement connecté. Compte tenu de l’API non protégée [le pirate informatique] trouvé, il pourrait bien être possible pour quiconque ayant ce problème informations pour accéder aux appareils et services qui sont supposés être limité à de tels réseaux privés si un appareil avec [applications malveillantes] sur il est à l’intérieur du réseau. Imaginez un utilisateur utilisant un appareil en cours d’exécution une de ces applications sur le réseau Wi-Fi de leur employeur. le attaquant pourrait maintenant avoir un accès direct à toutes les ressources qui sont généralement protégé par un pare-feu ou un IPS (prévention des intrusions) système).

Le botnet a été documenté publiquement au plus tard en août 2016, quand les chercheurs de la société de sécurité Check Point Software ont publié ce court article qui a mis en évidence le risque de la SOCKS-activé logiciels malveillants. Un mois plus tard, Trend Micro a déclaré avoir trouvé DressCode intégré dans 3 000 applications Android, dont 400 sont disponibles dans le marché du jeu officiel jusqu’à ce que Google les supprime.

Puis en octobre 2017, plus de 14 mois après l’arrivée du botnet allumer — Symantec a signalé un nouveau lot de programmes malveillants sur Google Play. applications téléchargées jusqu’à 2,6 millions de fois. Tandis que Symantec surnommé le malware Sockbot, il utilisait le même serveur C2 et interfaces de programmation non authentifiées, disponibles au public, DressCode dans le même but d’engager une fraude au clic.

La preuve du botnet toujours florissant soulève des questions importantes sur l’efficacité des réponses des incidents de Google aux rapports de applications Android malveillantes qui emmêlent les téléphones en réseaux de zombies. le preuve – qui a été fournie par quelqu’un qui prétend avoir complètement piraté le serveur C2 et un compte privé GitHub qui code source C2 hébergé – suggère que le code est caché au fond de la titres malveillants continue à fonctionner sur un nombre important de appareils malgré les notifications privées répétées à Google de chercheurs en sécurité. On ignore si Google a supprimé à distance le Applications DressCode et Sockbot à partir de téléphones infectés et d’attaques réussi à compromettre un nouvel ensemble de périphériques ou si Google autorisé téléphones pour rester infecté.

La preuve démontre également l’absence de démantèlement les chercheurs en infrastructure documentés il y a plus de 16 mois et que le pirate informatique dit être en opération depuis cinq ans. Un commun la pratique de l’industrie est destinée aux entreprises de sécurité ou aux logiciels concernés entreprises à prendre le contrôle des domaines Internet et des serveurs utilisés pour exécuter des botnets dans un processus connu sous le nom de sinkholing. On ne sait pas quoi étapes, le cas échéant, prises par Google pour supprimer DressCode. Le serveur C2 et deux API publiques sont restées actives au moment de la publication de ce message vivre.

Dans un courrier électronique, un porte-parole de Google a écrit: “Nous avons protégé notre utilisateurs de DressCode et ses variantes depuis 2016. Nous sommes constamment surveiller cette famille de logiciels malveillants et continuera à prendre actions appropriées pour aider à sécuriser les utilisateurs Android. “La déclaration n’a pas répondu aux questions si Google travaillait à gouffre le C2.

5 000 navigateurs sans tête

Le pirate a déclaré que le but du botnet est de générer revenus publicitaires frauduleux en faisant les téléphones infectés � collectivement, accédez à des milliers d’annonces chaque seconde. Voici comment ça fonctionne: un serveur contrôlé par un attaquant exécute un grand nombre de problèmes sans tête les navigateurs qui cliquent sur des pages Web contenant des annonces payant des commissions pour les renvois. Pour empêcher les annonceurs de détecter le faux trafic, le serveur utilise les mandataires SOCKS pour acheminer le trafic les appareils compromis, qui tournent toutes les cinq secondes.

Le pirate informatique a déclaré que son compromis du C2 et ses conséquences le vol du code source sous-jacent a montré que DressCode s’appuie sur cinq serveurs qui exécutent 1 000 threads sur chaque serveur. En conséquence, il utilise 5 000 appareils mandatés à tout moment, puis seulement pour cinq secondes, avant de rafraîchir la piscine avec 5 000 nouvelles infections dispositifs.

Après avoir passé des mois à récurer le code source et d’autres logiciels privés les données utilisées dans le botnet, le pirate informatique a estimé que le botnet au moins à un moment donné, environ quatre millions d’appareils s’y rapportant. Le pirate informatique, citant des tableaux de performances détaillées de plus de 300 Applications Android utilisées pour infecter les téléphones, a également estimé le botnet a 20 millions de dollars de revenus publicitaires frauduleux au cours des dernières années années. Il a dit que les interfaces de programmation et le code source C2 montrer qu’une ou plusieurs personnes ayant le contrôle sur adecosystems.com domaine maintiennent activement le botnet.

Hebeisen de Lookout a déclaré qu’il était capable de confirmer le piratage affirme que le serveur C2 est celui utilisé à la fois par DressCode et Sockbot et qu’il appelle au moins deux émissions publiques interfaces, y compris celle qui établit une connexion SOCKS sur les appareils infectés. Hebeisen a confirmé que les API sont hébergées sur serveurs appartenant à adecosystems.com, un domaine utilisé par un fournisseur des services mobiles. Il a également confirmé que la deuxième interface est utilisé pour fournir des agents utilisateurs à utiliser dans la fraude au clic. (Ars est refusant de se lier aux API pour éviter d’autres abus.) Il a dit avoir également constaté une “forte corrélation” entre le serveurs adecosystems.com et serveurs référencés dans DressCode et Code Sockbot. Parce que le chercheur de Lookout n’a pas accédé au privé certaines parties des serveurs, il n’a pas pu confirmer que les SOCKS le proxy était lié à l’interface de l’agent utilisateur, pour spécifier le nombre de périphériques infectés faisant rapport au C2, ou pour déterminer la quantité des revenus générés par le botnet au fil des ans.

Les responsables d’Adeco Systems ont déclaré que leur société n’avait pas connexion au botnet et qu’ils étudient comment leur les serveurs ont été utilisés pour héberger les API.

En utilisant un navigateur pour visiter les liens adecosystems.com qui hébergé les API, il était possible d’obtenir des instantanés d’infectés dispositifs qui comprenaient leur adresse IP et leur emplacement géographique. Actualiser le lien fournirait rapidement les mêmes détails pour un téléphone compromis différent. Parce que les données ne sont pas protégées par un mot de passe, il est probable que toute personne connaissant les liens puisse établir leur propre connexion SOCKS avec les appareils, a déclaré Hebeisen.

API 1

API 1

API 1

API 2

API 2

API 2

Le pirate a également accédé à une base de données contenant l’unique identifiant matériel, opérateur, adresse du numéro MAC et ID de périphérique pour chaque appareil infecté. Il a fourni une seule capture d’écran qui est apparue compatible avec ce qu’il avait décrit.

De nombreuses applications malveillantes, y compris beaucoup d’entre elles, restent disponibles sur des marchés tiers tels que APKPure. Ni Hebeisen ni le pirate informatique ont dit qu’ils avaient des preuves que Google Play a DressCode ou Sockbot applications hébergées au cours des derniers mois.

Alors que Google a dit qu’il a la possibilité de désinstaller à distance applications malveillantes à partir d’appareils Android, certains critiques ont fait valoir que ce niveau de contrôle, en particulier sans le consentement préalable de l’utilisateur final du temps, dépasse une ligne rouge. Google peut donc être réticent � utilise le. Même en supposant que la capacité à distance est lourde, le menace importante posée par la facilité de mise en place de SOCKS les connexions avec potentiellement des millions d’appareils est sans doute précisément le type de cas particulier qui justifierait l’utilisation de Google l’outil. Si possible, Google devrait également prendre des mesures pour: démonter le serveur C2 et les API adecosystems.com sur lesquels il s’appuie sur.

À l’heure actuelle, il n’existe pas de liste d’applications installant le Code DressCode et Sockbot. Les personnes qui pensent que leur téléphone peut être infecté doit installer une application antivirus à partir de Check Point, Symantec ou Lookout et recherchez des applications malveillantes. (Chacun peut initialement être utilisé gratuitement.) Pour empêcher les périphériques compromis en premier lieu, les gens devraient être très sélectifs sur les applications qu’ils installent sur leurs appareils Android. Ils devraient télécharger des applications uniquement à partir de Play et même après recherche à la fois sur l’application et sur le développeur.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: