Android : Lookout découvre une variante de NotCompatible
Le cheval de Troie peut potentiellement compromettre le réseau d'une entreprise

Le , par Stéphane le calme, Chroniqueur Actualités
Dans un livre blanc, publié hier par Lookout, une société spécialisée dans la sécurité et basée à San Francisco, il est question de NotCompatible, un cheval de Troie en circulation depuis début 2012 qui a refait surface sous une autre forme, ainsi que de la genèse de sa découverte. Début 2012, l’entreprise le présentait comme « un simple malware » déguisé en mise à jour Android, qui transformait les dispositifs infectés en proxy TCP, qui pouvaient être contrôlés à distance.

Bien entendu NotCompatible.C, officiellement la troisième variante de NotCompatible, dispose de nombreuses améliorations techniques par rapport à la version originale et pourrait infiltrer les réseaux d’une entreprise toute entière et voler des données, si un seul appareil venait à être compromis. NotCompatible C se sert des techniques de contrôles P2P souvent associées à des malwares sur ordinateur. Par exemple, le botnet est résilient au blocage basé sur le réseau comme il utilise P2P et à de nombreux serveurs géographiquement dispersés C&C tandis qu’il effectue un chiffrement de bout en bout de tout son trafic.

NotCompatible.C effectue une authentification mutuelle entre les clients et les serveurs C&C via un chiffrement à clé publique et possède un niveau de protocole de son chiffrement qui empêche les systèmes de sécurité de réseau de différencier le trafic malveillant et légitime. Par exemple, les données SSL sont envoyées sur le port 443 - le port SSL par défaut.

Comparé à son prédécesseur qui avait une architecture simple client-serveur, où le dispositif communiquait directement avec un C&C à la fois sans aucun chiffrement ou méthode d’obscurcissement pour cacher son activité, ce botnet a une architecture beaucoup plus avancée. Le cheval de Troie originel lançait des attaques de type « drive-by-download » ; le logiciel malveillant s’installait automatiquement suite à la consultation d’un mail ou d’un site piégé.

NotCompatible C est capable d’infecter les appareils Android sans passer par l’invitation à télécharger une application factice mais plutôt par un envoi massif de spam aux appareils mobiles qui sont souvent sans protection de sécurité. En somme, une distribution « simple mais efficace » qui établit un contraste frappant avec la sophistication du malware lui-même.

Selon Lookout, les dispositifs les plus menacés sont les appareils mobiles fonctionnant à l’extérieur du paramètre de sécurité traditionnel, ce qui inclut les smartphones et tablettes BYOD (Bring Your Own Device). Lookout précise que les cybers criminels se sont déjà servis de tels dispositifs pour outrepasser la sécurité et voler des bases de données financières de toute une entreprise.

« Étant donné le risque potentiel pour la sécurité que cette dernière variante pose aux réseaux d'entreprise, nous encourageons les organismes de sécurité à renforcer le contrôle de l'activité de réseau des appareils mobiles et à déployer la protection contre les attaques de ce genre », a recommandé Lookout.

« NotCompatible.C possède une technique de sophistication remarquable dans le monde des logiciels malveillants mobiles. Sa résilience, résistance à la détection basée sur le réseau, et ses fonctionnalités d'autoprotection en font une menace puissante dans les mains d'un attaquant. En tant que botnet mobile avec une distribution répandue et des capacités proxy, l'utilisation potentielle de NotCompatible.C comme une passerelle pour attaquer les réseaux et les systèmes protégés est non seulement plausible, mais un résultat probable ».

« Nous croyons que NotCompatible est déjà présent sur de nombreux réseaux d'entreprise parce que nous avons observé, via la base d'utilisateurs de Lookout, des centaines de réseaux d'entreprise avec des dispositifs qui ont rencontré NotCompatible. Il est raisonnable de supposer qu'il y a beaucoup plus de dispositifs présentant des infections actives NotCompatible qui ne sont pas protégés par Lookout et qui se connectent également à des réseaux d'entreprise ».

Quoiqu’il en soit, pour Simon Green, expert en cyber sécurité pour le compte de PA Consulting Group, « le maillon le plus faible dans tout ça reste les individus. L’ingénierie sociale reste la première méthode d’attaque qui peut être mitigée par l’utilisation d’HoMER ( Holistic Management of Employee Risk, un guide proposé par le CPNI –Centre for the Protection of National Infrastructure-) ». Et il continue en expliquant que « la sécurité d'entreprise doit chercher à identifier l’initialisation de la session SSL comme une mesure technique, déployer un suivi pour les appareils mobiles exécutant une sorte de réseau local tout en éduquant les gens sur les pratiques de sécurité .»

Source : blog Lookout

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Javascript developer intern
Pulpix - Ile de France - Paris (75009)
Analyste/développeur H/F
androcom - Rhône Alpes - Lyon (69000)
Architecte fonctionnel sales & supply H/F
MENWAY TALENTS - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil