Agrandir / Les cybercriminels ou les pirates anonymes utilisent des logiciels malveillants sur les téléphones mobiles pour pirater les mots de passe personnels et professionnels en ligne.
Getty Images
Dans l’ensemble, les appareils Android ont acquis une réputation résolument mitigée en matière de sécurité. Alors que le système d’exploitation lui-même et les pixels de Google se sont opposés au fil des ans aux exploits logiciels, le flux incessant d’applications malveillantes sur Google Play et les appareils vulnérables de certains fabricants tiers ont terni son image.
Jeudi, cette image a encore été ternie après que deux rapports ont déclaré que plusieurs lignes d’appareils Android étaient livrées avec des logiciels malveillants préinstallés et ne pouvaient pas être supprimées sans que les utilisateurs ne prennent des mesures héroïques.
Le premier rapport est venu de la société de sécurité Trend Micro. Suite à une présentation donnée lors de la conférence sur la sécurité Black Hat à Singapour, des chercheurs ont rapporté que pas moins de 8,9 millions de téléphones et comprenant jusqu’à 50 marques différentes étaient infectés par des logiciels malveillants. Documenté pour la première fois par des chercheurs de la société de sécurité Sophos, Guerrilla, comme ils ont nommé le malware, a été trouvé dans 15 applications malveillantes que Google a autorisées sur son marché Play.
Guerrilla ouvre une porte dérobée qui amène les appareils infectés à communiquer régulièrement avec un serveur de commande et de contrôle à distance pour vérifier s’il y a de nouvelles mises à jour malveillantes à installer. Ces mises à jour malveillantes collectent des données sur les utilisateurs que l’acteur de la menace, que Trend Micro appelle le groupe Lemon, peut vendre aux annonceurs. Guerrilla installe alors subrepticement des plateformes publicitaires agressives qui peuvent épuiser les réserves de la batterie et dégrader l’expérience utilisateur.
Les chercheurs de Trend Micros ont écrit :
Bien que nous ayons identifié un certain nombre d’activités que Lemon Group réalise pour les grandes sociétés de données, de marketing et de publicité, l’activité principale implique l’utilisation des mégadonnées : analyser des quantités massives de données et les caractéristiques correspondantes des expéditions des fabricants, différents contenus publicitaires obtenus à partir de différents utilisateurs à des moments différents, et les données matérielles avec une poussée logicielle détaillée. Cela permet à Lemon Group de surveiller les clients qui peuvent être infectés par d’autres applications sur lesquelles s’appuyer, par exemple en se concentrant uniquement sur l’affichage de publicités aux utilisateurs d’applications de certaines régions.
Le pays avec la plus forte concentration de téléphones infectés était les États-Unis, suivis du Mexique, de l’Indonésie, de la Thaïlande et de la Russie.
Publicité
Guerrilla est une plate-forme massive avec près d’une douzaine de plugins qui peuvent détourner les sessions WhatsApp des utilisateurs pour envoyer des messages indésirables, établir un proxy inverse à partir d’un téléphone infecté et utiliser les ressources réseau de l’appareil mobile concerné, et injecter des publicités dans des applications légitimes.
Malheureusement, Trend Micro n’a pas identifié les marques concernées et les représentants de l’entreprise n’ont pas répondu à un e-mail les demandant.
Le deuxième rapport a été publié par TechCrunch. Il a détaillé plusieurs gammes de boîtiers TV basés sur Android vendus via Amazon et contenant des logiciels malveillants. Fabriqués par deux fabricants basés en Chine, AllWinner et RockChip, les téléviseurs relèvent d’un serveur de commande et de contrôle qui, tout comme les serveurs Guerrilla, peut installer n’importe quelle application souhaitée par les créateurs de logiciels malveillants. Le logiciel malveillant par défaut préinstallé sur les boîtes est connu sous le nom de clickbot. Il génère des revenus publicitaires en tapant subrepticement sur les publicités en arrière-plan.
TechCrunch a cité des rapports (ici et ici) de Daniel Milisic, un chercheur qui a acheté l’une des boîtes infectées. Les conclusions de Milisic ont été confirmées de manière indépendante par Bill Budington, chercheur à l’Electronic Frontier Foundation.
Les appareils Android qui sont livrés avec des logiciels malveillants tout droit sortis de la boîte d’usine ne sont malheureusement pas nouveaux. Ars a signalé de tels incidents au moins cinq fois au cours des dernières années (ici, ici, ici, ici et ici). Tous les modèles concernés appartenaient au niveau budgétaire.
Les personnes à la recherche d’un téléphone Android devraient se tourner vers des marques connues telles que Samsung ou LG, qui ont généralement des contrôles d’assurance qualité beaucoup plus fiables sur leur inventaire. À ce jour, il n’y a jamais eu de rapports d’appareils Android haut de gamme contenant des logiciels malveillants préinstallés. Il n’y a pas non plus de tels rapports pour les iPhones.