Un panel de chercheurs de sécurités IT issus de plusieurs fournisseurs de solutions d’infrastructures et de sécurité IT (Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ…) s’est intéressé au cas du botnet WireX.
Celui-ci s’est appuyé sur la connexion de plusieurs centaines de milliers de terminaux Android pour lancer des attaques par déni de service distribué (DDoS).
Des apps infectées sur Google Play (player média, stockage de fichier, téléchargement de sonneries…) ont été utilisées pour mener l’assaut dans une configuration rarement signalée jusqu’ici, selon Silicon.co.uk.
WireX est sorti de l’ombre lors d’un assaut survenu le 17 août lors d’une attaque DDoS visant des fournisseurs de contenus en ligne qui collaborent avec des spécialistes de la diffusion accélérée de contenus via le Web (CDN) comme Akamai.
Le botnet a impliqué jusqu’à 120 000 adresses IP et a généré des volumes de sollicitations pouvant atteindre 20 000 requête HTTP à la seconde sur les sites Web visés, provoquant une saturation au niveau des serveurs (« un impact significatif mais gérable » selon les experts).
La coalition de chercheurs a remonté la piste de l’assaut qui a mené à des apps Android infectées qui avaient été téléchargées sur Google Play.
Google a éjecté 300 apps infectées de sa place de marché et la fonction de protection Google Play Protect a été réactualisée pour éviter les débordements en termes de téléchargements.
Autre caractéristique relatif à WireX : le botnet s’est répandu dans une centaine de pays. Une propagation inhabituelle pour ce type de malware, selon les chercheurs de sécurité IT qui se sont intéressés à ce cas d’infection.
Des traces de WireX ont également été trouvées sur d’autres marketplace « bien connues » mais les experts restent discrets sur les noms des autres plateformes de propagation potentielle.
Dans leurs investigations numériques, ils ont déterminé que les terminaux « sous influence » WireX avaient embarqué une fonction de détection d’user agent (une chaîne de caractères exploitée en cas d’usage d’un navigateur Web ou d’une app) conçue à partir des 26 lettres de l’alphabet dans le désordre.
Les chercheurs ont également déterminé qu’une attaque précédente mais de moindre impact était survenue le 2 août. On peut en savoir plus via une contribution blog d’Akamai en date du 28 août.
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
