La porte dérobée installée sur les appareils Android
Durant le mois de juillet 2019, le géant américain du numérique Google a confirmé le fait que certains appareils pendant la fabrication en usine étaient corrompus par une porte dérobée qui leur était imputée.
Selon Google, durant la fabrication de certains appareils Android, des personnes de mauvaises intentions y installent des portes dérobées dans l’intention de s’en servir une fois ses appareils en circulation.
Cet article va aussi vous intéresser : Ces applications Android sur PlayStore corrompus qui mettent en péril nôtre sécurité informatique
Cette révélation a été faite suite à plusieurs années d’analyse par des spécialistes à la solde de Google. Les portes dérobées concernées sont un ensemble de programmes malveillants constitué de la famille « famille Triada », connu dans le milieu de la cybercriminalité pour la fonctionnalité servant à mettre des spams et de la publicité sur des terminaux Android depuis maintenant 2016. Selon Lukasz Siewierski, un membre de l’équipe Android Security & Privacy de la firme américaine : « Triada infecte les images du système de l’appareil par l’intermédiaire d’une tierce partie pendant le processus de production. Parfois, les OEMs veulent inclure des fonctionnalités qui ne font pas partie du projet Open Source Android, comme le déverrouillage de visage. L’OEM peut s’associer à une tierce partie qui peut développer la fonctionnalité souhaitée et envoyer l’image système complète à ce fournisseur pour le développement ».
Ce programme permet alors aux responsables de pouvoir installer plusieurs logiciels malveillants sur les smartphones depuis les usines de fabrication avant même que les utilisateurs n’ont le temps de les toucher. La découverte de ces programmes malveillants préinstallés a commencé véritablement depuis 2017, sur certains terminaux mobiles sur Android tels que les smartphones
- Leagoo (modèles M5 plus et M8)
- Nomu (modèles S10 et S20)
La vulnérabilité a été perçue par la société de cybersécurité Dr Web. Le but des cybers pirates selon les ingénieurs de cette société serait de prendre le contrôle des mobiles infectés une fois qu’ils seront en circulation. De la sorte les logiciels malveillants qui seront utilisés pour s’en prendre alors au smartphone une fois circulation sont appelés zygote, un ensemble de programmes issus du lanceur de logiciel malveillant. « Libandroid_runtime.so est utilisé par toutes les applications Android, ce qui fait que le malware se retrouve injecté dans la zone de mémoire de toutes les applications en cours de fonctionnement », avait expliqué les ingénieurs de Dr. Web, qui avait ajouté que « la fonction principale de ce malware est de télécharger des composants malicieux supplémentaires. »
Et vu la manière dont les programmes ont été installés, ils sont liés à la souche même des systèmes d’exploitation, ce qui les rend insensible au mode standard de correction ou de paquets de sécurité. Ce qui fait qu’en dépit de tout type de protection ou encore de mise à jour les pirates ont sûrement pu continuer à utiliser leur programme malveillant pour s’infiltrer et voler les données de ces smartphones.
Cependant, Google a assuré lors d’une publication dans un billet de blog qu’il met tout en œuvre pour s’assurer que la menace est définitivement effacé car depuis un certain moment, la cité américaine était au four et au moulin avec le constructeur pour supprimer définitivement du firmware les traces du logiciel utilisé pour les infections à l’origine.
Accédez maintenant à un nombre illimité de mot de passe :