C’est un phénomène qui commence à prendre des proportions inquiétantes. Des chercheurs en sécurité de l’éditeur Dr.Web viennent de mettre la main sur deux nouvelles portes dérobées installées directement dans les firmwares de smartphones Android, principalement commercialisés en Russie. Objectif de ces malwares : la distribution de publicités et la fraude aux faux téléchargements logiciels.
Le premier, baptisé Android.Downloader.473.origin, se retrouve surtout sur des terminaux de marques plus ou moins inconnues, dont beaucoup fonctionnent sur chipset Mediatek. Dr.Web a identifié 26 modèles infectés. A chaque fois que l’appareil est allumé, le malware contacte son serveur de commande et contrôle pour recevoir ses instructions. En général, il s’agit de télécharger une application qui peut être malveillante ou non. Il peut en particulier installer l’application H5GameCenter, qui affiche des publicités dans les autres programmes et incite l’utilisateur à télécharger des logiciels via son propre catalogue.
La seconde porte dérobée s’appelle Android.Sprovider.7. Ses fonctionnalités sont un peu plus vastes. Elle peut non seulement installer des applications et afficher des publicités, mais aussi appeler des numéros, probablement dans le but d’une fraude au numéro surtaxé. Ce qui est plus étonnant, en revanche, c’est que cette porte dérobée se retrouve sur des terminaux d’une marque bien plus célèbre : Lenovo. Dr.Web a identifié deux modèles infectés : A319 et A6000. Comment ont-ils pu se retrouver dans le firmware ?
Des millions de terminaux vulnérables
Ce n’est pas la première fois que des chercheurs en sécurité découvrent des portes dérobées dans les firmwares Android. Il y a un mois, la société Kryptowire a mis la main sur le logiciel Adups FOTA, qui se trouvait installé sur des dizaines de milliers de terminaux Blu Products vendus sur le marché américain. Destiné en théorie à la gestion de mises à jour à distance, il pouvait installer n’importe quel logiciel sur le téléphone. Et comme les échanges avec son serveur de commande et contrôle n’étaient pas très bien sécurisés, un pirate pouvait aisément s’appuyer sur lui pour réaliser des attaques de type man-in-the-middle.
Dans la foulée, des chercheurs en sécurité d’Anubis Networks ont trouvé un mouchard dans près de 3 millions de terminaux. Développé par la société chinoise Ragentek, il s’agissait là encore d’un logiciel de mise à jour à distance, mais dont l’implémentation était totalement bancale, vulnérables aux attaques de type Man-in-the-middle. Logés au niveau du firmware, ces logiciels sont très difficiles à désinstaller. Ils représentent donc un danger majeur pour les utilisateurs.
Source: Dr.Web
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.