Discussion :

[Stéphane le calme]

Avast découvre des adwares pré-installés sur de nombreux smartphones Android d'entrée de gamme,
la France figure parmi les pays les plus touchés

Avast a constaté que de nombreux téléphones Android d’entrée de gamme, dont la majorité ne sont pas certifiés par Google, sont livrés avec une variété de logiciels malveillants déjà préinstallés qui peuvent inciter des utilisateurs à télécharger des applications auxquelles ils n'avaient pas l'intention d'accéder. Parmi les appareils concernés figurent des appareils conçus par ZTE, Archos et myPhone.

Avast explique que le logiciel malveillant, appelé Cosiloon, effectue une superposition afin d’afficher une publicité sur une page Web dans le navigateur des utilisateurs. Le logiciel publicitaire est actif depuis au moins trois ans et est difficile à supprimer car il est installé au niveau du firmware et utilise une obfuscation forte. Des milliers d'utilisateurs sont concernés et le mois dernier, Avast assure avoir vu la dernière version de l'adware sur environ 18 000 appareils appartenant à des utilisateurs Avast situés dans plus de 100 pays, dont la Russie, l'Italie, l'Allemagne, le Royaume-Uni et même aux Etats-Unis

Le spécialiste a expliqué avoir des échantillons Android étranges qui arrivent dans sa base de données de temps en temps depuis quelques années déjà. Les échantillons semblaient être comme n'importe quel autre échantillon d'adware, à l'exception du fait que l'adware semblait n'avoir aucun point d'infection et disposait de plusieurs noms de paquets similaires, les plus communs étant:

• com.google.eMediaService
• com.google.eMusic1Service
• com.google.ePlay3Service
• com.google.eVideo2Service

« Récemment, un des échantillons s’est distingué dans nos statistiques de détection après que notre plateforme d'intelligence de menace d'apk.io l'ait marquée comme étant un malware. C’est alors que nous avons commencé à creuser. Il s'avère que ces paquets de logiciels publicitaires ne sont que des charges utiles supprimées d'une application système préinstallée par le fabricant sur une quantité surprenante de divers appareils. Ce qui est encore plus surprenant est que le premier échantillon de l’injecteur, qui est une application qui télécharge d'autres applications malveillantes, que nous avons à notre disposition date de janvier 2015 et a été préinstallé sur une tablette à faible coût vendue en Pologne. De plus, les dates sur les fichiers à l'intérieur du fichier APK le plus ancien dont nous disposons remontent à quelques années ; certaines sont datées du 1er janvier 2016 et d’autres du 7 mars 2013. Cette famille d'adware a également de nombreuses variantes de charge utile et de l’injecteur, indiquant un développement continu », explique l’entreprise.

Analyse de l’application

L’ensemble est composé de deux fichiers APK distincts; de l’injecteur et de la charge utile.

L’injecteur est une petite application sans obfuscation, située sur la partition /system des périphériques affectés. L'application est complètement passive, visible uniquement par l'utilisateur dans la liste des applications système sous "Paramètres". Avast a observé des injecteurs avec deux noms différents, "CrashService" et "ImeMess". L’entreprise assure qu’il en existe plusieurs versions, toutes partageant le même comportement de base:

1. Ils téléchargent un manifeste à partir de http://www.cosiloon.com/version.xml lorsque l'appareil est connecté au Wi-Fi. Différents sous-domaines (abc, abd) et différents noms de fichiers (version_2.xml, version_3.xml, information.xml) sont également utilisés, vraisemblablement pour le débogage.
   Le manifeste XML contient des informations sur les éléments à télécharger, les services à démarrer et contient une liste blanche programmée pour exclure potentiellement des pays et des périphériques spécifiques de l'infection. Mais Avast n’a pas pu voir la liste blanche des pays qui a été utilisée, et seulement quelques périphériques ont été ajoutés à la liste blanche dans les premières versions.
2. Ensuite, l’injecteur installe une charge utile à partir d'une URL. L’injecteur télécharge un fichier APK d'un <url> trouvé dans le manifeste (il change de version en version) dans / sdcard / Download / <nom> puis installe l'APK via la commande pm install, la commande standard pour installer des applications sur Android dispositifs.
3. Enfin, l’injecteur démarre le service de charge utile. Les entrées <startupX> du manifeste sont utilisées pour démarrer les services de la charge utile. Cette étape est répétée chaque fois que le téléphone démarre.

Avast a trouvé au moins huit variations de code différentes de l’injecteur avec de nombreuses signatures différentes. Les fonctions de base de toutes les variantes sont les mêmes, avec quelques différences subtiles dans les URL codées en dur et la prise en charge de packages de logiciels malveillants pré-installés supplémentaires. Dans l'ensemble, il s'agit d'un injecteur simple et flexible qui fonctionne bien, tant que les auteurs ont le contrôle du domaine codé en dur, et peuvent garder l'URL opérationnelle

Utilisateurs concernés

Par pays

Selon les statistiques d’Avast, les utilisateurs dans plus de 90 pays sont touchés. Les dix pays qui ont été les plus touchés au cours du dernier mois sont la Russie, l'Italie, l'Allemagne, le Royaume-Uni, l'Ukraine, le Portugal, le Venezuela, la Grèce, la France et la Roumanie.

Par dispositifs

Plusieurs centaines de dispositifs différents sont affectés. Les appareils affectés portent généralement un chipset Mediatek et sont pour la plupart des tablettes à faible coût. Une liste des appareils vulnérables est disponible et comprend des appareils de marques Archos, ZTE, myPhone et Prestigio. Les appareils exécutent différentes versions d'Android allant de 4.2 à 6.0.

Cependant, Avast assure que ce ne sont pas tous les dispositifs présents sur la liste qui sont affectés « car chaque modèle possède d'innombrables variantes de micrologiciel (par exemple pour différents pays et différents opérateurs) et seules quelques variations d'un périphérique peuvent être affectées, ou peut-être une version ROM personnalisée avait l’injecteur. Cette liste contient simplement des modèles d'appareils sur lesquels nous avons repéré la charge utile au moins une fois dans son chemin <downloads> / Temp, qui est le chemin vers lequel le système télécharge la charge avant de l'installer, et la charge utile a également été installée sur le même périphérique ». .

Conclusion

Il ne s'agit malheureusement pas d'un cas isolé. En effet, l’équipe Check Point Mobile Security a découvert en mars un malware ciblant près de 5 millions d’utilisateurs qui était destiné à générer frauduleusement des revenus publicitaires pour le compte des pirates. Selon les chercheurs, le logiciel malveillant se fait passer pour une application Wi-Fi inoffensive. Découvert sur un smartphone Xiaomi Redmi, Rottensys serait introduit sur 5 millions de modèles depuis l’usine de Tian Pai, à Hangzhou, en Chine. Les smartphones des marques Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung et GIONEE sont concernés. Et ce n'est qu'un exemple parmi plusieurs de smartphones infectés par un logiciel malveillant dès la sortie d'usine.

Liste des dispositifs vulnérables

Source : Avast

Et vous ?

Que vous suggère cette découverte ?
Votre smartphone (ou votre tablette) figure-t-il sur la liste ?

Voir aussi :

RPT-CP1 : la nouvelle tablette E-Ink de Sony à 600 dollars, qui intègre le partage de fichiers avec iOS, Android, Windows et Mac
RGPD : les développeurs Android auraient suspendu les annonces publicitaires Google, jusqu'à la sortie du nouveau SDK de Google
Sécurité : l'application Android de Facebook requiert les privilèges de super utilisateur, d'après des signalements
Android : la nouvelle politique de sécurité de Google imposera des mises à jour régulières, les fabricants de téléphones devraient s'y conformer
Google lance la troisième version bêta de Flutter, son kit de développement d'applications Android et iOS peut désormais être utilisé en production

[MikeRowSoft]

J'ai bien une tablette Samsung GT-P3100 mais j'ai jamais vue cela s'affiché. (un vieux truc)
Au final, je pense je suis pas près de changé de téléphone ou que j'éviterais les marques cités quand il s'agit d'OS Android.

[SuperCed]

Peut être pour ça que la tablette Archos est si lente, au point d'être inutilisable...
Elle semble être dans la liste.
Comment on peut virer ce malware ?

[transgohan]

Comment on peut virer ce malware ?

Vu que c'est de base dans la ROM le seul moyen est de rooter l'équipement et d'y installer soit même une ROM Android pour écraser celle du constructeur/distributeur.

[SuperCed]

J'ai jamais réussi à le rooter... Malheureusement.

C'est un Archos 70b platinum. Il n'est pas dans la listing, mais il y a un modèle proche...
C'est la tablette la plus lente que je connaisse...

[rastamancamillo]

Hé ben.. si dès la sortie d'usine les mobiles sont contaminés..

[Maybeking]

Personnellement j'ai acheté un petit smartphone android à 60e à Darty de la marque I.T. Works et j'ai été surpris par des pop-ups intempestif dans toutes mes applications. Alors je suis aller voirs dans les fichiers APK installé et j'ai remarqué 2 applications que je ne connaissais pas (l'une d'entre elles s’appelait 'Clock' et je ne me rappelle plus de l'autre). Je les ais donc supprimées et depuis je n'ai plus du tout de pop-up.

Je trouve quand même ça choquant de pouvoir vendre ça dans une grande surface. Qu'est ce que je peux faire ? Le reporter à Darty ou quelque chose comme ça ?

[Invité]

Si les chinois nous vendaient des saloperies, on le saurait...Quel beau pays...On l'aura, notre apocalypse digitale...

[candide02]

Les premiers virus que j'ai rencontrés étaient installés sur des floppy disk 3.5" vendu par des importateurs de matériel chinois à des prix très bas...
Pourquoi changer les bonnes habitudes ?
jp

[Invité]

Le domaine http://www.cosiloon.com n'existe plus.