octobre 14th, 2011

Steve Ragan de Security Week se penche sur un rapport publié par Trend Micro signalant l’existence d’un virus sur plateforme Android capable de prendre ses ordres d’un blog situé en Chine.

Très schématiquement, le malware contacte à périodes régulières son « blog C&C », qui, à son tour, se charge d’expédier les commandes de mise à jour sous forme de fichier XML. Cette technique est d’autant plus intéressante qu’elle rend le botnet quasiment invulnérable tant que le malware lui-même est capable de dénicher un blog ou tout autre serveur capable de fournir un service identique.

L’idée avait d’ailleurs été développée il y a plus de 2 ans par MM Itzik Kotler et Ziv Gado, alors chercheurs chez Radware, et avait fait l’objet d’une communication dans le cadre de la conférence parisienne Hackito Ergo Sum 2010. Les deux chercheurs avaient d’ailleurs poussé la logique encore plus loin, puisqu’ils avaient envisagé d’utiliser des « mots clef » anodins qui, une fois traduits par le malware, pouvaient correspondre à des ordres précis : ouverture du bot, déclenchement d’attaque, mise en sommeil, lancement d’une procédure de mise à jour etc. Si ces mots clefs étaient détectés à un endroit précis d’un commentaire de blog, d’une petite annonce Craigslist ou d’un article de journal en ligne (autrement dit des « C&C à l’insu de leur plein gré » impossible à fermer), le bot se mettait immédiatement en branle.

Ce qui prouve que parfois, les scénarii techniques les plus science-fictionnesques entendus lors d’une conférence de sécurité peuvent inspirer des auteurs de malwares.