Mise à jour NotCompatible : p2p et le chiffrement bout en bout

D’après Lookout, le réseau de zombies qui repose sur la nouvelle version du Trojan pour Android baptisé NotCompatible par les experts, est plus résistant grâce à la mise en œuvre d’une réserve et du chiffrement total des communications.

Les chercheurs ont détecté NotCompatible il y a 2,5 ans de cela et depuis lors, ils surveillent son évolution. A l’époque, ce malware pour appareil nomade fonctionnait comme un simple relais et il servait avant tout à diffuser des messages non sollicités ou des achats massifs de billets pour des spectacles. Ce malware se propage principalement dans le cadre d’attaques de type "drive-by" depuis des sites compromis ou via des messages non sollicités. Il est présenté en général comme une mise à jour système (fichier update.apk sur des sites tiers qui ne sont pas liés à Google). La répartition géographique et la diversité de ces sources ont amené les chercheurs à penser que les opérateurs de NotCompatible se contentent d’acheter des bases de ressources compromises et d’adresses de messagerie.

Les experts n’ont pas manqué de signaler que NotCompatible n’est pas le seul réseau de zombies mobile utilisé pour diffuser des messages non sollicités, mais il se distingue de ses confrères par son exceptionnelle longévité. Ainsi SpamSoldier, qui est plus jeune, n’a été en service que durant quelques semaines.

L’analyse menée par les experts de Lookout sur la version la plus récente de NotCompatible (la troisième) a mis en évidence le fait que ce Trojan mis à jour est toujours employé dans la diffusion de messages non sollicités et l’achat de billets sur des services de réservation en ligne, mais qu’il est également capable de compromettre des sites WordPress par force brute et d’exécuter différentes actions sur le serveur via l’environnement d’exécution Internet c99 dissimulé. Les modes de propagation de ce malware sont inchangés. Ils reposent sur l’ingénierie sociale. Le rythme de diffusion de cette troisième version est toujours lent : tout indique qu’elle est en période de rodage.

Après cette mise à jour, l’infrastructure de commande et la communication interne de NotCompatible ont été sensiblement modifiées. Les gestionnaires du réseau de zombies ont introduit des relations p2p entre les périphériques infectés. Ils les ont regroupés par emplacement géographique et ils ont introduit un deuxième niveau dans le système de gestion, ce qui limite l’accès aux contrôleurs via une passerelle. La segmentation régionale du réseau de zombies très pratique dans le contexte d’une location estiment les experts.ššš

Dans la nouvelle hiérarchie de NotCompatible, le serveur-passerelle réglemente la charge selon le trafic client entrant et la répartit entre les serveurs qui contrôlent les échanges entre les pairs. Il filtre les requêtes des périphériques infectés et ne traitent que les clients autorisés. Il fournit des fichiers de configuration qui contiennent les adresses des centres de commande actifs les plus proche (comme dans le réseau CDN). Les chercheurs ont trouvé plus de 10 contrôleurs d’exploitation de NotCompatible.C situés en Suède, en Pologne, en Hollande, en Grande-Bretagne et aux Etats-Unis.

Une fois qu’il a reçu l’adresse des "commandants sur le terrain", le représentant plénipotentiaire pour la région réalise une nouvelle procédure d’identification et leur demande de fournir une liste actualisée des pairs. Le client partage cette liste avec ses confrères par le biais de la comparaison des fichiers de configuration.

Il est intéressant de voir que toutes les communications entre les clients et le centre de commande sont chiffrées, ce qui n’avait jamais été le cas avant. D’après Lookout, le trafic ainsi obtenu ne se distingue pratiquement pas d’un trafic SSL, SSH ou VPN légitime. NotCompatible.C utilise un système de chiffrement avec clé ouverte pour l’authentification réciproque client-serveur.

A l’heure actuelle ce malware pour Android mis à jour est utilisé principalement pour diffuser des messages non sollicités et déjouer les mécanismes de lutte contre la fraude sur les services de commerce électronique vu que le volume élevé de transactions frauduleuses répartis sur un grand réseau de zombies peut être parfaitement considéré comme du trafic légitime. Ceci étant dit, les experts voient dans NotCompatible une menace potentielle pour la sécurité des entreprises : grâce à ce Trojan, les opérateurs peuvent entrer dans n’importe quel réseau, dont le réseau Wi-Fi ou VPN d’une entreprise, en connectant un périphérique infecté. La fonction proxy du malware est assurée par la backdoor qui permet de réaliser différentes actions dans le réseau cible : recherche d’hôtes vulnérables, exploitation de vulnérabilités, vol de données non protégées.

Infos : Kaspersky Lab détecte NotCompatible depuis 2013 sous le verdict Trojan.AndroidOS.NioServ. D’après les données de la société, il s’est propagé à travers le monde entier depuis lors. Le volume le plus important d’infections a été observé aux Etats-Unis et en Europe de l’Ouest, ainsi qu’en Russie et en Inde.

Source : https://www.securityweek.com/advanced-variant-notcompatible-android-malware-threat-enterprises

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *