Des millions de smartphones Android seraient livrés avec un malware préinstallé, ont expliqué des chercheurs en cybersécurité de chez Trend Micro à l'occasion de la conférence Black Hat Asia. Des acteurs malveillants profiteraient des chaînes de productions complexes des appareils électroniques pour y glisser une partie logicielle vérolée. Le problème touche principalement des smartphones, mais aussi des montres intelligentes ou des téléviseurs connectés.
Le problème serait à chercher au niveau du firmware des appareils. Certains fournisseurs logiciels y glisseraient des plug-ins silencieux néfastes, qui seraient intégrés aux engins avant même qu'ils ne quittent l'usine. Le cheval de Troie serait donc situé à la racine de l'appareil.
L'objectif du logiciel malveillant est de voler des informations et de collecter différentes données pour les revendre. Il peut faire en sorte de prendre contrôle des messageries et des réseaux sociaux de l'utilisateur, mais également voler ou vendre ses SMS. Ces différents canaux offrent de multiples opportunités de monétisation pour les pirates via des publicités ou des campagnes de faux clics.
Selon les chercheurs, un plug-in spécifique permet aux pirates de louer les appareils infectés pour une durée maximale de 5 minutes. Les clients peuvent alors obtenir des infos sur ce qui est tapé via le clavier, mais aussi sur la localisation géographique ou l'adresse IP de l'utilisateur. Ils ajoutent qu'un cookie Facebook offrirait de récupérer des informations depuis l'app.
Les appareils infectés seraient principalement situés en Asie du Sud-Est et en Europe de l'Est. Les pirates ont affirmé que le nombre d’engins en circulation s'élevait à environ 8,9 millions dans une statistique interne. Difficile de savoir précisément à quelle étape se situe la faille. Les chercheurs semblent indiquer qu'ils suspectent les fabricants d'équipement chinois :
Même si nous connaissons les personnes qui construisent l'infrastructure de cette entreprise [de malware], il est difficile de déterminer avec précision comment l'infection a été introduite dans ce téléphone portable, car nous ne savons pas avec certitude à quel moment elle est entrée dans la chaîne d'approvisionnement.
Le problème n'est pas nouveau. En début d'année, on a vu passer une box TV vendue sur Amazon livrée avec un logiciel malveillant directement dans son firmware. Dès 2017, The Register pointait du doigt des smartphones de grandes marques (LG, Samsung) touchées par un souci similaire. La faille ne vient pas toujours du début de la chaîne de production : certains appareils très abordables passent entre de nombreuses mains avant de finir en rayon. Les acteurs malveillants ont donc de nombreuses occasions pour charger du code vérolé sur les appareils.
Source :
