Des chercheurs de Trend Micro ont révélé à Black Hat Asia que des millions de téléphones Android dans le monde sont infectés par des logiciels malveillants avant même de quitter les usines. Ce problème est dû à la concurrence féroce entre les fournisseurs de firmware, qui ont commencé à insérer des plugins silencieux dans leurs produits pour gagner de l’argent. Ces plugins permettent aux pirates de louer les appareils infectés, de voler des SMS, de prendre le contrôle des comptes en ligne et de faire de la fraude au clic. Les appareils touchés sont principalement des mobiles Android bon marché, mais aussi des montres intelligentes, des télévisions et autres.Selon des chercheurs de Trend Micro présents à la conférence Black Hat Asia, des cybercriminels ont infecté des millions d'appareils Android dans le monde entier avec des microprogrammes malveillants avant même qu'ils ne sortent de l'usine. Il s'agit principalement d'appareils mobiles Android bon marché, mais aussi de smartwatches, de téléviseurs et d'autres objets.
La fabrication des gadgets est confiée à un fabricant d'équipement d'origine (OEM). Cette externalisation permet à un intervenant dans le processus de fabrication, tel qu'un fournisseur de microprogrammes, d'infecter les produits avec des codes malveillants au moment de leur livraison, ont expliqué les chercheurs.
Les gens de Trend Micro ont caractérisé la menace aujourd'hui comme « un problème croissant pour les utilisateurs réguliers et les entreprises ». Donc, considérez cela comme un rappel et une mise en garde tout à la fois. « Quel est le moyen le plus simple d'infecter des millions d'appareils ? » a demandé Fyodor Yarochkin, chercheur principal chez Trend Micro, qui s'exprimait aux côtés de son collègue Zhengyu Dong lors de la conférence de Singapour.
Yarochkin a comparé l'infiltration d'appareils à un stade aussi précoce de leur cycle de vie à l'absorption d'un liquide par un arbre : vous placez l'infection à la racine et elle se propage partout, jusqu'à chaque branche et chaque feuille.
Les téléphones haut de gamme pourraient être plus sûrs
Lorsque le groupe Trend Micro a examiné plusieurs images de microprogrammes à la recherche de logiciels malveillants, plus de 80 modules d'extension ont été découverts, bien que nombre d'entre eux n'aient pas été utilisés de manière intensive. Toutefois, les plugins qui ont eu le plus d'impact sont ceux qui ont fait l'objet d'un modèle commercial. Ces plugins étaient achetés et vendus illégalement et faisaient ouvertement l'objet d'une promotion sur des sites web tels que Facebook, des blogs et YouTube.
Les logiciels malveillants transformaient alors les appareils infectés en proxys mobiles et les utilisaient comme outils pour voler et vendre des messages SMS, des médias sociaux et des comptes de messagerie en ligne, et pour les monétiser par le biais de publicités et de fraude au clic.
Au cours de ses recherches, l'équipe a trouvé un plugin de cookie Facebook qui pouvait être utilisé pour collecter les activités de l'application Facebook. Ces informations peuvent ensuite être utilisées pour créer des liens frauduleux dans lesquels l'utilisateur est susceptible de tomber.
Une autre forme de ces plugins est un plugin Proxy qui permet au criminel de louer des appareils pour une durée maximale de cinq minutes à la fois. Grâce à ce plugin, les personnes qui louent le contrôle de l'appareil peuvent, par exemple, obtenir des informations sur les frappes au clavier, la localisation, l'adresse IP, etc.
« L'utilisateur du proxy pourra utiliser le téléphone de quelqu'un d'autre pendant 1 200 secondes comme nœud de sortie », a déclaré Yarochkin. Bien que Yarochkin n'ait pas ouvertement indiqué l'origine du logiciel malveillant, lui et son co-présentateur, Zhengyu Dong, ont mentionné la Chine même lorsqu'ils ont raconté l'histoire du développement du micrologiciel douteux.
« Même si nous connaissons peut-être les personnes qui construisent l'infrastructure de cette entreprise, il est difficile de déterminer avec précision comment cette infection est introduite dans ce téléphone portable, car nous ne savons pas avec certitude à quel moment elle est entrée dans la chaîne d'approvisionnement », a déclaré Yarochkin.
Selon les chercheurs, les téléphones d'au moins dix fournisseurs étaient infectés par le logiciel malveillant, mais il est possible qu'il y en ait eu jusqu'à 40 autres. Pour éviter ces téléphones, l'équipe a déclaré que le fait d'opter pour un modèle haut de gamme pouvait offrir une certaine protection, mais ne garantissait pas la sécurité.
« Les grandes marques comme Samsung et Google ont relativement bien assuré la sécurité de leur chaîne d'approvisionnement, mais pour les acteurs de la menace, il s'agit toujours d'un marché très lucratif », a déclaré Yarochkin.
Source : Trend Micro
Et vous ?
Les affirmations des chercheurs de Trend Micro sont-elles pertinentes ? Quel peut être l’impact réel de ces logiciels malveillants sur les utilisateurs et les entreprises ? Quelles sont selon vous, les mesures à prendre par les fabricants, les fournisseurs et les autorités pour prévenir et détecter ces infections ? Quels sont les risques de ces logiciels malveillants pour la vie privée ? Quelles sont les alternatives possibles au firmware fourni par les OEM ?Voir aussi :
Le marché mondial des smartphones a connu un cinquième trimestre consécutif de baisse, reculant de 12% au Q1 2023, Samsung est revenu à la première place, suivi d'Apple et de Xiaomi Les mentions sur la confidentialité des données de la plupart des principales applications de Google Play Store sont fausses ou trompeuses, d'après une étude de Mozilla 70 % des membres de la génération Z disent qu'ils n'utiliseront jamais Android, à cause de la stigmatisation qu'ils pourraient subir de la part de leurs propres groupes d'amis, selon Attain La mise à jour d'Android 14 Beta 2 est désormais disponible et Google annonce de nouvelles fonctionnalités, voici ce à quoi il faut s'attendre