Deux groupes de botnet, l’un nommé Fbot et l’autre nommé Trinity, luttent pour prendre le contrôle d’un maximum d’appareils Android non sécurisés afin d’utiliser leurs ressources et de miner de la cryptomonnaie dans le dos de leurs propriétaires.
Cette guerre de territoire dure depuis au moins un mois selon les indications issues de rapports publiés par différentes sociétés de cybersécurité.
Les deux réseaux sont en concurrence directe et visent les mêmes objectifs, à savoir les appareils Android sur lesquels les vendeurs ou les propriétaires ont laissé le port de diagnostic ADB accessible en ligne.
Ce port porte le numéro 5555 et héberge une fonctionnalité Android standard appelée Android Debug Bridge (ADB). Tous les appareils Android le prennent en charge, mais la plupart d’entre eux ont désactivé l’accès à celui-ci.
Cette fonctionnalité a été laissée activée sur plusieurs dizaines de milliers d’appareils, soit par accident au cours du processus d’assemblage et de test de l’appareil, soit par la faute de l’utilisateur qui a eu recours à ADB pour déboguer ou personnaliser son téléphone.
Pire, dans sa configuration par défaut, l’interface ADB n’utilise pas non plus de mot de passe. Une fois que le port ADB est activé et que le périphérique est connecté à Internet, la fonction ADB sert de backdoor permanente pour les périphériques vulnérables.
Selon une recherche Shodan, le nombre d’appareils Android dotés d’un port ADB exposé en ligne varie généralement entre 30 000 et 35 000 par jour.
Ces appareils vulnérables n’ont évidemment pas échappé à la vigilance des cybercriminels. En février, un réseau botnet reposant sur une variété de logiciels malveillants appelée ADB.Miner avait infecté près de 7 500 appareils, dont la plupart étaient des téléviseurs intelligents et des terminaux de télévision basés sur Android.
Les développeurs d’ADB.Miner ont exploité les appareils compromis afin de miner une cryptomonnaie, ce qui leur a finalement permis de dégager un bénéfice considérable. Mais cette variété de logiciels malveillants a évolué avec le temps et a ensuite été transformée en un nouveau réseau de zombies appelé Trinity, également connu sous le nom de com.ufo.miner, d’après le nom de son processus.
Le botnet a été vu par Qihoo 360 Netlab en septembre et était toujours aussi performant en octobre lorsque les chercheurs d’Ixia l’ont également remarqué en ligne.
Tout comme lors de sa précédente incarnation ADB.Miner, le botnet Trinity a continué de s’appuyer sur l’interface exposée du port ABD pour accéder aux périphériques, installer son logiciel malveillant de cryptominage, puis utiliser le périphérique infecté pour se propager à de nouvelles victimes.
Cependant, le succès d’ADB.Miner et Trinity a également attiré de nouveaux candidats. À partir de septembre, un autre réseau de robots a également été repéré, analysant en ligne les périphériques dotés d’un port ADB. Ce deuxième botnet, nommé Fbot, n’a pas encore été vu en train de miner une cryptomonnaie.
Pour l’instant, Fbot, dont les chercheurs disent qu’il partage du code avec le malware Satori IoT, s’est uniquement concentré sur la diffusion sur autant d’appareils que possible et le retrait permanent de Trinity des appareils infectés. En effet, Fbot contient un script spécial qui recherche spécifiquement le nom de fichier de Trinity (com.ufo.miner) et le supprime.
Bien que son objectif reste mystérieux et qu’il faille un certain temps avant que Fbot ne devienne aussi grand que Trinty, il est clair que les propriétaires d’appareils Android doivent prendre note de cette tendance en matière de programmes malveillants et s’assurer que leur appareil n’expose pas le port ADB en ligne.
Ce didacticiel aidera les propriétaires d’appareils à désactiver le service ADB, également appelé « débogage USB » dans les menus de configuration de nombreux appareils Android.
En juin dernier, l’expert en sécurité informatique Kevin Beaumont avait suggéré que les opérateurs télécoms mobiles pourraient simplifier les choses en bloquant le trafic entrant dans leurs réseaux qui cible le port 5555, ce qui rendrait les analyses des ports ADB ouverts inutiles. Cette méthode bloquerait ainsi toute tentative d’exploitation.
Cet article est une traduction de « Two botnets are fighting over control of thousands of unsecured Android devices » initialement publié sur ZDNet.com
