avril 23rd, 2013

Le nombre de téléchargements d’applications infectées par Badnews oscillerait entre 2 et 9 millions (sic), et il aura fallu un certain temps, sinon un temps certain, avant que Google décide de bloquer la diffusion de ces appliquettes dangereuses. Une lenteur de réaction peut-être, explique Mark Rodgers du blog Lookout, en raison du fait que Badnews restait discret et inactif durant une période assez longue avant de frapper.

Déguisé en application publicitaire, ce malware était en fait un Bot capable à son tour de récupérer d’autres « charges utiles », et notamment un automate d’appel vers des numéros surtaxés. Pour échapper aux risques d’un filtrage sélectif, Badnews a su se faire diffuser caché dans une multitude de logiciels différents : jeux, fonds d’écran, recettes de cuisine, utilitaire de gestion de téléphone, canal d’information en continu, fil de « citations célèbres », appliquette « rose » et autres inutilités. Comment les développeurs de ces applications ont pu, à l’insu de leur plein gré, intégrer un tel virus sans se douter du moindre risque ? Difficile de savoir. Rogers pense que chacun d’entre eux croyait ajouter un module d’application de diffusion publicitaire rémunéré. La collecte des informations et le pilotage des appareils zombifiés étaient assurés par trois centres de commande, l’un en Russie, l’autre en Ukraine, le troisième en Allemagne. Ces trois C&C seraient d’ailleurs toujours en service.

La chasse aux vulnérabilités affectant les routeurs grand-public et SMB est le sport favori de tout chercheur sécurité en quête d’une invitation pour une conférence sécurité. ISE, consultant US situé à Baltimore, a fait les choses en grand en se lançant dans une grande campagne de fuzzing visant plus d’une douzaine d’équipements d’entrée de gamme (Linksys, Belkin, Netgear, Verizon, Dlink etc.). Malgré une annonce présentée sur un ton relativement fracassant, il faut reconnaître que les risques de pénétration à distance sans authentification préalable sont assez faibles. En revanche, une fois un usager logué, il peut se livrer à quelques beaux exploits « for fun and profit », cela va sans dire. 28 CVE ont ainsi été constatés exploitables : Beaucoup de CRSS et XSS, plusieurs de ces attaques étant accompagnées d’un PoC publié par ISE pour au moins 8 des modèles cités.