+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    300
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 300
    Points : 9 687
    Points
    9 687

    Par défaut Les smartphones Android Leagoo et Nomu sont livrés avec un cheval de Troie préinstallé

    Les smartphones Android Leagoo et Nomu sont livrés avec un cheval de Troie préinstallé
    D’après la firme de sécurité Dr. Web

    La firme de sécurité Dr. Web a découvert un nouveau malware préinstallé sur un certain nombre d’appareils mobiles Android. Les smartphones de marques Leagoo (modèles M5 plus et M8) et Nomu (modèles S10 et S20) sont concernés. Il s’agit d’un cheval de Troie que des cybercriminels peuvent utiliser pour prendre le contrôle desdits appareils.

    Android.Triada.231 fait partie de la famille de malware Android.Triada. Les programmes malicieux de cette famille s’attaquent au processus système dénommé Zygote (le lanceur des processus d’applications tierces). En s’injectant dans Zygote, ces malwares peuvent ainsi s’infiltrer dans tous les autres processus.

    Cette infiltration requiert néanmoins que le malware acquière des droits d’accès root, d’après les explications de la firme Dr. Web. Pour contourner cette nécessité, des développeurs participant au projet de création du firmware pour les marques concernées, ont trouvé la géniale idée d’insérer la variante « 231 » de cette famille directement dans le code source – dans la méthode println_native de la classe android.util.log – de la bibliothèque système libandroid_runtime.so.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    jint __fastcall android_util_Log_println_native(JNIEnv *env, jobject clazz, jint bufID, jint priority, jstring tagObj,
    jstring msgObj)
    {
      const char *tag; // r4@5
      const char *msg; // r8@7
      int v12; // r0@8
      char *v13; // lr@9
      char v14; // r1@10
      int v15; // t1@10
      int v16; // r0@12
      const char *tag_; // r2@12
      jint v18; // r10@13
      char v21[52]; // [sp+10h] [bp-60h]@11
      int v22; // [sp+44h] [bp-2Ch]@1
      char v23[40]; // [sp+48h] [bp-28h]@12
      v22 = MEMORY[0];
      if ( !msgObj || (unsigned int)bufID > 5 )
      {
        jniThrowNullPointerException();
        return -1;
      }
      if ( tagObj )
        tag = (const char *)((int (*)(void))(*env)->GetStringUTFChars)();
      else
        tag = 0;
      msg = (const char *)((int (__fastcall *)(JNIEnv *, jstring, _DWORD))(*env)->GetStringUTFChars)(env, msgObj,
    0);
      if ( tag )
      {
        v12 = strncmp(tag, "@M_", 3u);
        if ( !v12 )
        {
          v13 = (char *)(tag + 2);
          while ( 1 )
          {
            v15 = (unsigned __int8)(v13++)[1];
            v14 = v15;
            if ( !v15 )
              break;
            v21[v12++] = v14;
          }
          v23[v12 - 56] = v14;
          v16 = xlogf_java_xtag_is_on(v21, priority);
          tag_ = v21;
          if ( !v16 )
            goto LABEL_13;
    LABEL_17:
          v18 = _android_log_buf_write(bufID, priority, tag_, msg);
          goto LABEL_18;
        }
      }
      if ( xlogf_java_tag_is_on(tag, priority) )
      {
        tag_ = tag;
        goto LABEL_17;
      }
    LABEL_13:
      v18 = -1;
    LABEL_18:
      j___config_log_println(env, priority, tag, msg, "M5 Plus Lte");
      if ( tag )
        ((void (__fastcall *)(JNIEnv *, jstring, const char *))(*env)->ReleaseStringUTFChars)(env, tagObj, tag);
      ((void (__fastcall *)(JNIEnv *, jstring, const char *))(*env)->ReleaseStringUTFChars)(env, msgObj, msg);
      return v18;
    }

    « Libandroid_runtime.so est utilisé par toutes les applications Android ce qui fait que le malware se retrouve injecté dans la zone de mémoire de toutes les applications en cours de fonctionnement », explique la firme qui ajoute que « la fonction principale de ce malware est de télécharger des composants malicieux supplémentaires. »

    Le malware présent sur l’appareil mobile infecté laisse dès lors une infinité de possibilités à un développeur de virus. Une application bancaire installée sur l’appareil sera donc infiltrée dès son lancement avec les conséquences désastreuses que l’on connait.

    Il est bien dommage que la liste d’appareils publiée par la firme Dr. Web ne mentionne que deux marques de smartphones de façon explicite, ceci d’autant plus que la seule façon de se débarrasser de ce cheval de Troie est d’installer un firmware non infecté.

    Source : Dr. Web

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Le malware Android Judy pourrait avoir infecté 36,5 millions d'utilisateurs, selon le spécialiste en sécurité Checkpoint
    DressCode, un malware Android dissimulé dans plus de 400 applications de Google Play, susceptible de voler les données sensibles des entreprises
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Profil pro
    Inscrit en
    juin 2010
    Messages
    83
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2010
    Messages : 83
    Points : 184
    Points
    184

    Par défaut

    la seule façon de se débarrasser de ce cheval de Troie est d’installer un firmware non infecté.
    Et malheureusement, ce n'est pas toujours une chose accessible ou possible.

  3. #3
    Membre régulier Avatar de BeeApps
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2017
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : juillet 2017
    Messages : 54
    Points : 90
    Points
    90

    Par défaut

    Je ne suis pas sûr d'avoir bien compris, les marques Leagoo et Nomu ont volontairement préinstallé ce cheval de troie dans leur firmware ?

Discussions similaires

  1. Réponses: 37
    Dernier message: 03/10/2013, 15h42
  2. Réponses: 2
    Dernier message: 11/04/2011, 12h48
  3. Réponses: 1
    Dernier message: 16/07/2009, 09h38
  4. Réponses: 0
    Dernier message: 16/07/2009, 07h15
  5. Réponses: 0
    Dernier message: 16/07/2009, 07h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo