Weissblick - Fotolia
Les logiciels malveillants détournent de plus en plus de services légitimes
Certains pirates utilisent des comptes Twitter pour communiquer avec leurs logiciels, ou encore la plateforme de notifications push Google Cloud Messaging.
Les attaquants ne cessent décidément pas de rivaliser de créativité pour augmenter la furtivité de leurs créations, cachant leurs communications en détournant des services tout ce qu’il y a de légitime.
Ainsi, Eset a découvert, durant l’été dernier, un cheval de Troie pour Android capable de télécharger des applications malicieuses sur les terminaux mobiles infectés en suivant les ordres reçus d’un compte Twitter de commande et de contrôle. Et si celui-ci vient à être découvert, les opérateurs du logiciel malveillant peuvent basculer sur un autre compte. Une première, et donc un nouveau type d’infrastructure de commande et de contrôle.
Mais Fortinet a récemment découvert une autre approche, tout aussi originale : un rançongiciel Android utilisant la plateforme Google Cloud Messaging, qui sert de socle aux mécanismes de notification en mode push, dans le cadre de son infrastructure de commande et de contrôle.
Dans un billet de blog, l’équipementier explique que la plateforme de Google est en fait utilisée pour pousser au terminal compromis des instruction. Cette approche a toutefois une limite : le logiciel malveillant doit envoyer au serveur de commande et de contrôle l’identifiant qu’il a obtenu au moment de son enregistrement initial sur la plateforme de messagerie de Google. De quoi donner la possibilité de l’identifier, même son URL est stockée chiffrée dans le code du logiciel malveillant.