Le plus grand botnet mobile pourrait attaquer les réseaux d’entreprise

Lookout, la spécialiste de la sécurité mobile qui a découvert le ver informatique évoluant sur Android, NotCompatible, en 2012, vient de publier une étude sur son successeur NotCompatible.C.

Le logiciel malveillant se présente comme une mise à jour d’Android, disponible par campagnes de pourriels et sites Web compromis.

NotCompatible.C est sa troisième itération. Il ne s’agirait rien moins que du botnet le plus répandu sur périphériques mobiles, avec un niveau de sophistication comparable aux réseaux d’ordinateurs zombies.

Le logiciel malveillant utilise le chiffrement et le pair à pair pour communiquer avec les serveurs de commande et les autres périphériques infectés.

Les serveurs de commandes et passerelles (C2) utilisent l’équilibrage des charges en fonction de la position géographique des clients. Ces derniers doivent s’authentifier avec le serveur pour communiquer avec lui. Il reçoit alors une liste de tous les C2 actifs, qui se trouvent aux États-Unis, Pays-Bas, en Pologne, Royaume-Uni et Suède. Tout comme une liste des téléphones infectés.

Cette redondance d’informations permet une forte résilience du botnet.

Le botnet est utilisé à des fins commerciales illicites, notamment :

– Campagnes de pourriels ;

– Achat en masse de tickets ;

– Attaques brutes ;

– Utilisation d’interface homme-machine shell.

 

D’après Lookout, qui vend des solutions de protections pour entreprises, de très nombreux smartphones et tablettes Android d’entreprise seraient compromis. Ce qui poserait un risque direct pour la sécurité des réseaux d’entreprises dans lesquels les téléphones sont connectés.

En utilisant un serveur intermédiaire, il serait possible d’énumérer tous les appareils compromis d’un réseau d’entreprise, d’exploiter les failles de ce dernier ou dérober des informations confidentielles.