Discussion :

[Stan Adkens]

Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux,
Plus de 200 fabricants d'appareils ont été mis à rude épreuve

Lorsqu’un utilisateur télécharge accidentellement des logiciels malveillants de Google Play Store, c’est une chose, mais lorsque de dangereux malwares sont installés à l’usine et livrés en carton en même temps qu’un smartphone, cela devient extrêmement préoccupant. Cependant, c’est sur cette deuxième option que l'équipe de recherche sur la sécurité de Google a attiré l’attention des utilisateurs, le jeudi dernier lors de l’événement Black Hat USA 2019 qui s’est tenu du 3 au 8 août à Las Vegas. Selon l’équipe de sécurité de Google, des millions de smartphones Android neufs sont achetés avec ce genre de logiciels installés en usine, a rapporté le magazine Forbes le samedi.

Google a averti sur le danger pour les propriétaires de téléphones qui ne se doutent de rien, ayant confiance dans la sécurité et dans le fait que les appareils sont neufs. En effet, une partie de ces malwares préinstallés peut télécharger d'autres malware en arrière-plan, commettre une fraude publicitaire, ou même prendre le contrôle du périphérique hôte, a rapporté le magazine. Selon le rapport, c’est sur le projet Open-Source d'Android (AOSP), une alternative moins coûteuse que la version complète, que le danger a un impact.

Android est une communauté open-source florissante, ce qui est formidable pour l'innovation, mais pas tant que ça lorsque les acteurs avec de mauvaises intentions saisissent l'opportunité de cacher les logiciels malveillants dans les logiciels de base qui sont ensuite livrés avec les appareils. Les nouveaux téléphones peuvent avoir jusqu'à 400 applications installées en usine, dont plusieurs n'ont pas été vérifiées. Toutefois, elles fonctionneront très souvent comme prévu, ne laissant planer aucun doute sur les mauvaises intentions des attaquants qui les ont conçus.

Selon le rapport de Zak Doffman, contributeur au magazine Forbes, Maddie Stone, chercheuse en sécurité pour le Projet Zéro de Google, a partagé les conclusions de son équipe lors de l’événement Black Hat la semaine dernière. Elle a averti que « Si les logiciels malveillants ou les problèmes de sécurité se présentent sous la forme d'applications préinstallées, les dommages qu'ils peuvent causer sont plus importants, et c'est pourquoi nous avons besoin de tant de révision, d'audit et d'analyse ».
Toutefois, les utilisateurs d’appareils équipés de la version complète d'Android comme Samsung et Google sont à l'abri de ce risque particulier. AOSP étant installé sur les smartphones à moindre coût où les alternatives logicielles moins chères aident à maintenir les prix bas.

Mme Stone a averti que l'avantage de l’installation des malwares à l’usine, pour un acteur malveillant, est qu'il n'a « qu'à convaincre une seule entreprise d'inclure son application, plutôt que des milliers d'utilisateurs ». L'équipe de Google n'a révélé aucun détail sur les marques de téléphones concernés, mais, selon elle, plus de 200 fabricants d'appareils ont été mis à rude épreuve, les logiciels malveillants permettant aux appareils d'être attaqués à distance, d’après le rapport.

Selon M. Doffman, les propriétaires des téléphones infectés ont été victimes de deux campagnes de logiciels malveillants particulièrement virulentes : Chamois et Triada. Le malware Chamois génère diverses techniques de fraudes publicitaires, installe des applications d'arrière-plan, télécharge des plugins et peut même envoyer des messages texte payants, d’après le rapport. L’équipe de sécurité de Google a découvert que le chamois seul était installé sur 7,4 millions d'appareils. Quant à Triada, c’est une ancienne variante de logiciels malveillants, qui affiche également des publicités et installe des applications.

Google combat les portes dérobées dans Android depuis longtemps

Les applications malveillantes de la « famille Triada », conçues pour mettre du spam et de la publicité sur un appareil Android, ont fait leurs débuts en 2016. Ces applications avaient été retrouvées en 2017 préinstallées sur un certain nombre d’appareils mobiles Android, dont les smartphones de marques Leagoo (modèles M5 plus et M8) et Nomu (modèles S10 et S20). La découverte avait été faite par la firme de sécurité Dr. Web. La firme a dit à l’époque que ces applications pouvaient être utilisées par des cybercriminels pour prendre le contrôle des appareils infectés. Les programmes malicieux de cette famille d’applications s’attaquent au processus système dénommé Zygote (le lanceur des processus d’applications tierces). En s’injectant dans Zygote, ces malwares peuvent ainsi s’infiltrer dans tous les autres processus, selon Dr. Web.

« Libandroid_runtime.so est utilisé par toutes les applications Android, ce qui fait que le malware se retrouve injecté dans la zone de mémoire de toutes les applications en cours de fonctionnement », avait expliqué la firme. Dr. Web avait ajouté que « la fonction principale de ce malware est de télécharger des composants malicieux supplémentaires. ».

En juin 2019, Google avait confirmé, dans un billet de blog, que ces applications avaient pu être préinstallées sur les appareils Android avant de quitter les usines des fabricants. Parce que la porte dérobée était intégrée dans l'une des bibliothèques du système d'exploitation et située dans la section système, elle ne pouvait pas être supprimée en utilisant des méthodes standard, selon Dr. Web. Toutefois, Google a dit dans son article de blog publié le 6 juin qu’il a depuis travaillé avec les fabricants pour s'assurer que l'application malveillante a été supprimée de l'image du firmware.

Google s'efforce d'aider les fabricants de dispositifs à dépister de telles vulnérabilités. Entre mars 2018 et mars 2019, Mme Stone affirme que ce dépistage a contribué à réduire le nombre de dispositifs infectés par le chamois de 7,4 millions à « seulement » 700 000, selon le rapport de Forbes. « L'écosystème Android est vaste, avec une grande diversité d'équipementiers et de personnalisations – si vous êtes capable d'infiltrer la chaîne d'approvisionnement, vous avez déjà autant d'utilisateurs infectés que d'appareils vendus – c'est pourquoi c'est une perspective plus effrayante », a-t-elle a averti.

Les portes dérobées continues à être insérées dans les appareils Android alors qu’en 2018 Google a mis en place de nouvelles procédures qui font obligation aux fabricants de soumettre des nouvelles images ou des mises à jour d’images à une suite de tests de construction. Dans le rapport Android Security & Privacy 2018 Year In Review de Google on pouvait lire:

« L'un de ces tests de sécurité analyse les PHA (applications potentiellement nuisibles) préinstallées incluses dans l'image du système ». « Si nous trouvons une PHA dans la compilation, nous travaillons avec le partenaire OEM pour remédier à la situation et retirer la PHA de la compilation avant qu'elle puisse être offerte aux utilisateurs », ont ajouté les responsables de Google dans leur rapport.

Ce qui est très préoccupant est que les propriétaires des téléphones ne peuvent pas faire grand-chose contre ce genre d’applications préinstallées. Ils ne peuvent que se fier aux fabricants et à Google.

Source : Forbes

Et vous ?

Qu’en pensez-vous ?
Selon vous, qui est responsable de la persistance des malwares dans Android ?
Google parviendra-t-il a éradiqué les portes dérobées du système Android ?

Lire aussi

Google confirme que la porte dérobée avancée a été préinstallée sur les appareils Android, avant qu'ils ne quittent les usines des fabricants
Les crypto-mineurs ont encore dominé le classement des malwares ayant eu le plus d'impact, dans l'édition de janvier du Global Threat Index
Les smartphones Android Leagoo et Nomu sont livrés avec un cheval de Troie préinstallé, d'après la firme de sécurité Dr. Web
Facebook : aucune « porte dérobée » de sécurité n'est prévue pour WhatsApp, qui permettrait d'analyser les messages non chiffrés sur les téléphones

[CoderInTheDark]

Je me demande si ils ne préparent pas le terrain pour éjecter les téléphone "made in China".
Nous on vend un système sûr mais certain fabriquant ne respectent pas les standards de sécurité
Bref acheter du Android mais du Android sur du matériel américain ou coréen

[Bruno]

Des millions de téléphones portables sont déjà infectés par des logiciels malveillants dès leur sortie d'usine,
selon des chercheurs, la menace vient de l'intérieur de la chaîne d'approvisionnement

Des chercheurs de Trend Micro ont révélé à Black Hat Asia que des millions de téléphones Android dans le monde sont infectés par des logiciels malveillants avant même de quitter les usines. Ce problème est dû à la concurrence féroce entre les fournisseurs de firmware, qui ont commencé à insérer des plugins silencieux dans leurs produits pour gagner de l’argent. Ces plugins permettent aux pirates de louer les appareils infectés, de voler des SMS, de prendre le contrôle des comptes en ligne et de faire de la fraude au clic. Les appareils touchés sont principalement des mobiles Android bon marché, mais aussi des montres intelligentes, des télévisions et autres.

Selon des chercheurs de Trend Micro présents à la conférence Black Hat Asia, des cybercriminels ont infecté des millions d'appareils Android dans le monde entier avec des microprogrammes malveillants avant même qu'ils ne sortent de l'usine. Il s'agit principalement d'appareils mobiles Android bon marché, mais aussi de smartwatches, de téléviseurs et d'autres objets.

La fabrication des gadgets est confiée à un fabricant d'équipement d'origine (OEM). Cette externalisation permet à un intervenant dans le processus de fabrication, tel qu'un fournisseur de microprogrammes, d'infecter les produits avec des codes malveillants au moment de leur livraison, ont expliqué les chercheurs.

Les gens de Trend Micro ont caractérisé la menace aujourd'hui comme « un problème croissant pour les utilisateurs réguliers et les entreprises ». Donc, considérez cela comme un rappel et une mise en garde tout à la fois. « Quel est le moyen le plus simple d'infecter des millions d'appareils ? » a demandé Fyodor Yarochkin, chercheur principal chez Trend Micro, qui s'exprimait aux côtés de son collègue Zhengyu Dong lors de la conférence de Singapour.

Yarochkin a comparé l'infiltration d'appareils à un stade aussi précoce de leur cycle de vie à l'absorption d'un liquide par un arbre : vous placez l'infection à la racine et elle se propage partout, jusqu'à chaque branche et chaque feuille.

Les téléphones haut de gamme pourraient être plus sûrs

Lorsque le groupe Trend Micro a examiné plusieurs images de microprogrammes à la recherche de logiciels malveillants, plus de 80 modules d'extension ont été découverts, bien que nombre d'entre eux n'aient pas été utilisés de manière intensive. Toutefois, les plugins qui ont eu le plus d'impact sont ceux qui ont fait l'objet d'un modèle commercial. Ces plugins étaient achetés et vendus illégalement et faisaient ouvertement l'objet d'une promotion sur des sites web tels que Facebook, des blogs et YouTube.

Les logiciels malveillants transformaient alors les appareils infectés en proxys mobiles et les utilisaient comme outils pour voler et vendre des messages SMS, des médias sociaux et des comptes de messagerie en ligne, et pour les monétiser par le biais de publicités et de fraude au clic.

Au cours de ses recherches, l'équipe a trouvé un plugin de cookie Facebook qui pouvait être utilisé pour collecter les activités de l'application Facebook. Ces informations peuvent ensuite être utilisées pour créer des liens frauduleux dans lesquels l'utilisateur est susceptible de tomber.

Une autre forme de ces plugins est un plugin Proxy qui permet au criminel de louer des appareils pour une durée maximale de cinq minutes à la fois. Grâce à ce plugin, les personnes qui louent le contrôle de l'appareil peuvent, par exemple, obtenir des informations sur les frappes au clavier, la localisation, l'adresse IP, etc.

« L'utilisateur du proxy pourra utiliser le téléphone de quelqu'un d'autre pendant 1 200 secondes comme nœud de sortie », a déclaré Yarochkin. Bien que Yarochkin n'ait pas ouvertement indiqué l'origine du logiciel malveillant, lui et son co-présentateur, Zhengyu Dong, ont mentionné la Chine même lorsqu'ils ont raconté l'histoire du développement du micrologiciel douteux.

« Même si nous connaissons peut-être les personnes qui construisent l'infrastructure de cette entreprise, il est difficile de déterminer avec précision comment cette infection est introduite dans ce téléphone portable, car nous ne savons pas avec certitude à quel moment elle est entrée dans la chaîne d'approvisionnement », a déclaré Yarochkin.

Selon les chercheurs, les téléphones d'au moins dix fournisseurs étaient infectés par le logiciel malveillant, mais il est possible qu'il y en ait eu jusqu'à 40 autres. Pour éviter ces téléphones, l'équipe a déclaré que le fait d'opter pour un modèle haut de gamme pouvait offrir une certaine protection, mais ne garantissait pas la sécurité.

« Les grandes marques comme Samsung et Google ont relativement bien assuré la sécurité de leur chaîne d'approvisionnement, mais pour les acteurs de la menace, il s'agit toujours d'un marché très lucratif », a déclaré Yarochkin.

Source : Trend Micro

Et vous ?

Les affirmations des chercheurs de Trend Micro sont-elles pertinentes ?

Quel peut être l’impact réel de ces logiciels malveillants sur les utilisateurs et les entreprises ?

Quelles sont selon vous, les mesures à prendre par les fabricants, les fournisseurs et les autorités pour prévenir et détecter ces infections ?

Quels sont les risques de ces logiciels malveillants pour la vie privée ?

Quelles sont les alternatives possibles au firmware fourni par les OEM ?

Voir aussi :

Le marché mondial des smartphones a connu un cinquième trimestre consécutif de baisse, reculant de 12% au Q1 2023, Samsung est revenu à la première place, suivi d'Apple et de Xiaomi

Les mentions sur la confidentialité des données de la plupart des principales applications de Google Play Store sont fausses ou trompeuses, d'après une étude de Mozilla

70 % des membres de la génération Z disent qu'ils n'utiliseront jamais Android, à cause de la stigmatisation qu'ils pourraient subir de la part de leurs propres groupes d'amis, selon Attain

La mise à jour d'Android 14 Beta 2 est désormais disponible et Google annonce de nouvelles fonctionnalités, voici ce à quoi il faut s'attendre