Voici le code servant de “preuve de concept” pour un centre de commande et de contrôle (C&C) d’un botnet à partir de smartphones Android via SMS. Il a par ailleurs été présenté au Shmoocon 2011.
Il est développé pour la plateforme Android par la hackeuse Georgia Weidman. Celle-ci possède d’ailleurs un site complet, GRM n00bs, relatant tous les “Metasploit Weeks”.
Les payloads ont été retirés du code public du PoC, de sorte que la fonctionnalité que vous voyez dans les démos devront être ajoutée manuellement. Le code reconnait les messages liés au botnet basés sur une clé que vous pouvez changer, mais il n’effectue pas de charges potentiellement malveillantes comme on le voit dans les démos (Spam SMS par exemple).
UnderNews a pu le tester en exclusivité, et ce, avec le payload permettant de spammer via SMS, grâce à la gentillesse de Georgia Weidman que nous remercions.
En outre la preuve de concept comprend l’exploitation et un port ouvert en local pour réaliser des tests et développer ses propres charges utiles plus facilement. Celles-ci peuvent être supprimées si vous le souhaitez sans altérer la fonctionnalité.
Il est téléchargeable depuis le site officiel.
Voici une vidéo de la démonstration montrée à Shmoocon 2011. Il montre la transparence d’un téléphone infecté quand il est chargé d’exécuter des fonctionnalités par un maître. Une charge utile de spam par SMS est affichée.
[vimeo 19372118 nolink]
Télécharger le PDF de présentation Shmoocon 2011 Botnets Smartphone via SMS.
Ceci peut nous aider à se faire une idée sur les méthodes que peuvent utiliser les cybercriminels à ce jour ainsi que sur les opportunités que leurs offrent nos smartphones, de plus en plus puissants et pas forcément de plus en plus sécurisés…