Des logiciels malveillants pré-installés sur des terminaux Android

Les chercheurs spécialisés dans les menaces mobiles de Check Point ont détecté des ransomwares et d'autres logiciels malveillants pré-installées sur 36 modèles de smartphones et tablettes populaires de constructeurs tels que Samsung, LG et Xiaomi, « chez un important opérateur télécoms et une grande multinationale technologique ». Dans les deux cas, les logiciel malicieux « étaient déjà présents sur les appareils avant même que les utilisateurs ne les reçoivent ». Ils ne font pas partie de la ROM officiellement du constructeur « et ont été ajouté quelque part au long de la chaîne logistique », estime Oren Koriat, analyse chez Check Point Software. Selon lui, « six des instances de logiciels malveillants ont été ajoutées par un acteur malveillant à la ROM du périphérique en utilisant les privilèges de niveau système, ce qui signifie qu'ils ne pouvaient pas être supprimés par l'utilisateur et le périphérique a dû être re-flashé ».

Au programme de ces logiciels malveillants : des outils de vol d'informations, des diffuseurs de publicités malicieuses et même le rançongiciel Slocker. Ce dernier utilise le réseau anonyme Tor pour les communications avec les serveurs de commande et de contrôle, et peut crypter tous les fichiers sur un périphérique.

Pour Liviu Arsene, chercheur principal sur les menaces chez Bitdefender, le danger ne fait là aucun doute : « beaucoup d'utilisateurs affectés risquent beaucoup plus que de simplement perdre leurs données, comme d'être suivis et leurs informations personnelles siphonnées tout au long de la vie de l’appareil ».

Check Point ne s’avance pas sur le moment où les logiciels malveillants ont été ajoutés aux terminaux, mais il estime que les contamination ne sont probablement pas très répandues :  « ce ne sont que quelques appareils sur des millions. Nous ne suggérons pas que ces modèles contiennent des logiciels malveillants intégrés », indique Daniel Padon, chercheur sur les menaces mobiles chez Check Point. Pour lui, « il s'agit d'une attaque ou d'attaques isolées, et non d'une chaîne de production malicieuse ».

Tim Stiller, consultant chez Rapid7, relève qu’il est « très difficile de déterminer exactement à quel moment ces logiciels malveillants ont été le plus susceptibles d'être installés. Ils ont pu être installés à n’importe quel point de la chaîne logistique ».

Michael Patterson, PDG de Plixer International, estime pour sa part que cette découverte pourrait avoir des impacts négatifs sur les fabricants, en particulier en termes de confiance des utilisateurs :  « en tant que consommateur de nouveaux produits électroniques, on s'attend à ce que, à l’achat, ils soient exempts de logiciels malveillants. Lorsque des exemples comme celui-ci apparaissent, où des logiciels malveillants ont été ajoutés au fil de la chaîne logistique, cette confiance est rompue ». Dès lors, pour lui, « cela met en question les processus d'assurance qualité qui existent aujourd'hui pour les fabricants d’appareils. Sur la base de ces constatations, ils devraient maintenant introduire un test final des terminaux avant de les expédier à des clients ».

En attendant, pour Stiller, il revient aux clients « d’examiner toutes les applications pré-installées et leurs autorisations, d’effectuer une analyse [antivirus] lors de la réception d'un nouveau terminal » et même re-flasher l’image ROM de base de « chaque appareil entrant […] avant son utilisation dans l’entreprise ».