Une étude révèle que des milliers d'appareils Android bon marché sont équipés d'une porte dérobée préinstallée,

Et sont utilisés pour l'exécution de code à distance et la fraude publicitaire

Le 9 octobre 2023 à 13:01, par Mathis Lucas

0PARTAGES

Une nouvelle étude rapporte que des milliers d'appareils Android (appareils mobiles, téléviseurs connectés, etc.) bon marché sans marque sont préchargés avec un logiciel malveillant appelé Triada. L'étude utilise le terme "BADBOX" pour désigner cette opération d'infection et de distribution d'appareils Android et les appareils infectés étaient vendus pour moins de 50 dollars. Les chercheurs ont trouvé plus de 200 modèles avec des logiciels malveillants préinstallés et, lorsqu'ils ont acheté sept appareils en particulier, ils ont constaté que 80 % des unités étaient infectées par Triada. Une autre opération appelée PEACHPIT implique des applications mobiles malveillantes.

Découverte d'un réseau d'appareils électroniques Android compris à l'échelle mondiale

L'étude, intitulée "Trojans All the Way Down: BADBOX and PEACHPIT", a été publiée par la société américaine de cybersécurité Human Security. Elle s'est concentrée sur deux opérations clés : la première est le réseau BADBOX qui est composé d'appareils Android bon marché disponibles à l'achat en ligne populaires et dans des magasins physiques. Ces appareils sont infectés par des logiciels malveillants avant même d'arriver dans les mains de l'acheteur peu méfiant. Mais le réseau ne s'arrête pas aux boîtiers TV Android ; il s'étendrait aux applications de mauvaise qualité installées volontairement par les utilisateurs sur leurs téléphones Android et leurs iPhone.

La seconde opération étudiée par les chercheurs d'Human Security est baptisée "PEACHPIT. Il s'agit d'un réseau qui se concentre sur les applications de mauvaise qualité, installées volontairement par les utilisateurs sur leurs téléphones Android et leurs iPhone. Ces applications sont accompagnées d'une mauvaise surprise sous la forme d'un code malveillant qui ouvre une porte dérobée que les cybercriminels peuvent exploiter. C'est un rappel brutal que tout ce qui brille dans le magasin d'applications n'est pas forcément de l'or. Les chercheurs ont signalé l'opération PEACHPIT à Apple et Google, indiquant qu'elle implique au moins 39 applications Android et iOS.

Google a déclaré avoir supprimé les applications à la suite des recherches d'Human Security, tandis qu'Apple a déclaré avoir trouvé des problèmes dans plusieurs des applications qui lui ont été signalées. Selon les chercheurs d'Human Security, ce réseau d'appareils compromis a servi de plateforme à divers stratagèmes malveillants, notamment la fraude publicitaire, les services proxy, l'exécution de codes à distance et même l'enregistrement illicite de comptes Gmail et WhatsApp. Ces appareils se trouvent dans des foyers, des entreprises et des écoles à travers l'Europe, les États-Unis, etc. L'on ignore l'ampleur réelle des dégâts liés à ces deux opérations.

Les chercheurs ont découvert que les boîtiers TV infectés utilisent le système d'exploitation "Android Open Source Project" (AOSP) au lieu du projet Android TV qui est certifié par Google. Le projet AOSP est disponible en open source et en accès libre. « Les appareils sans marque infectés par la porte dérobée BADBOX n'étaient pas des appareils Android certifiés Play Protect. Si un appareil n'est pas certifié Play Protect, Google ne dispose pas d'un registre des résultats des tests de sécurité et de compatibilité », explique Ed Fernandez, porte-parole de Google. Fernandez a expliqué que l'entreprise dispose d'une liste de partenaires certifiés pour Android TV.

Au total, les chercheurs ont confirmé l'existence de huit appareils dotés de portes dérobées : sept boîtiers TV Android (T95, T95Z, T95MAX, X88, Q9, X12PLUS et MXQ Pro 5G) et une tablette J5-W. (Certains de ses appareils ont également été identifiés par d'autres chercheurs en sécurité qui se sont penchés sur le problème au cours des derniers mois). Le rapport d'Human Security, dont l'auteur principal est Marion Habiby, scientifique des données, indique que l'entreprise a repéré au moins 74 000 appareils Android présentant des signes d'infection par BADBOX dans le monde entier. Selon les chercheurs, les téléviseurs en cause sont fabriqués en Chine.

Cependant, quelque part avant qu'ils n'arrivent entre les mains des revendeurs - les chercheurs ne savent pas exactement où - une porte dérobée de micrologiciel leur est ajoutée. Cette porte dérobée modifie un élément du système d'exploitation Android, ce qui lui permet d'accéder aux applications installées sur les appareils. « À l'insu de l'utilisateur, lorsque vous branchez cet appareil, il se connecte à un centre de commande et de contrôle (C2) en Chine, télécharge un jeu d'instructions et commence à faire tout un tas de mauvaises choses », explique Gavin Reid, le RSSI d'Human Security qui dirige l'équipe Satori Threat Intelligence and Research de l'entreprise.

Selon le rapport, les acteurs de la menace vendaient l'accès aux réseaux résidentiels à des fins commerciales, affirmant avoir accès à plus de 10 millions d'adresses IP domestiques et à plus de 7 millions d'adresses IP mobiles. Cela représentait une menace importante pour la vie privée et la sécurité d'Internet à l'échelle mondiale. À son apogée, le réseau d'applications malveillantes PEACHPIT fonctionnait sur un botnet couvrant 121 000 appareils par jour sur Android. En ce qui concerne iOS, les applications malveillantes utilisées par les cybercriminels auraient fonctionné sur 159 000 appareils Apple par jour au plus fort de la campagne PEACHPIT.

Les appareils mobiles compromis sont engagés dans une fraude publicitaire massive

Les appareils infectés diffusaient plus de quatre milliards de publicités par jour, toutes invisibles pour les utilisateurs. « N'importe qui peut accidentellement acheter en ligne un appareil faisant partie du réseau BADBOX sans jamais savoir qu'il s'agit d'un faux, le brancher et ouvrir sans le savoir ce logiciel malveillant à porte dérobée. Ce logiciel malveillant peut être alors utilisé pour voler des informations personnelles, exécuter des robots cachés, créer des serveurs proxy résidentiels, voler des cookies et des mots de passe à usage unique, ainsi que d'autres systèmes de fraude uniques », écrit Rosemary Cipriano, membre de l'équipe d'Human Security.

Il convient de noter que le T95 est un boîtier TV connu pour contenir des maliciels préinstallés. En janvier dernier, Daniel Milisic, consultant canadien en cybersécurité, a découvert un logiciel malveillant sur le boîtier TV T95 qu'il avait acheté sur Amazon. En février, les chercheurs de Malwarebytes ont confirmé l'existence de logiciels malveillants préinstallés sur ce boîtier TV. Toutefois, à ce jour, Amazon continue de vendre le boîtier TV T95 malveillant. Selon Reid d'Human Security, le réseau ressemble à un "couteau suisse pour faire de mauvaises choses sur Internet". Reid a déclaré aux médias qu'il s'agissait d'une fraude bien organisée.

Selon le rapport, bien que les auteurs de PEACHPIT semblent différents de ceux de BADBOX, il est probable que les deux groupes travaillent ensemble d'une manière ou d'une autre. « Ils disposent d'un SDK pour la fraude publicitaire et nous avons trouvé une version de ce SDK qui correspond au nom du module déposé sur BADBOX. C'est un autre niveau de connexion que nous avons trouvé », explique Joao Santos, chercheur en sécurité chez Human Security. Selon les chercheurs de l'entreprise, la fraude PEACHPIT concerne à la fois les appareils Android et iOS, mais la porte dérobée BADBOX n'a été trouvée que sur Android, pas sur les appareils iOS.

Les données dont dispose l'entreprise ne sont pas exhaustives en raison de la complexité du secteur de la publicité, mais Redi estime que les auteurs de ce stratagème auraient pu facilement gagner 2 millions de dollars en un seul mois. Redi a déclaré que vers la fin de l'année dernière et au cours de la première partie de cette année, Human Security a pris des mesures contre les éléments de fraude publicitaire de BADBOX et de PEACHPIT. Selon les données communiquées par la société, le nombre de requêtes publicitaires frauduleuses provenant de ces systèmes a complètement chuté. Mais les attaquants se sont adaptés à la perturbation en temps réel.

L'entreprise explique que lorsque les contre-mesures ont été déployées pour la première fois, les auteurs des stratagèmes ont commencé par envoyer une mise à jour pour brouiller les pistes. Puis, les auteurs de BADBOX ont mis hors service les serveurs C2 qui alimentaient la porte dérobée du micrologiciel. Ces résultats concordent avec ceux d'autres chercheurs. Fyodor Yarochkin, chercheur en menaces chez Trend Micro, explique que l'entreprise a vu deux groupes chinois de menaces qui ont utilisé des appareils Android piratés. Selon lui, l'un a fait l'objet de recherches approfondies, l'autre est celui sur lequel Human Security s'est penché.

Il a déclaré que Trend Micro a trouvé une "société de façade" pour le groupe sur lequel elle a enquêté en Chine. « L'infection des appareils est assez similaire. Ils prétendaient avoir plus de 20 millions d'appareils infectés dans le monde, avec environ 2 millions d'appareils en ligne à tout moment. Il y avait une tablette dans l'un des musées quelque part en Europe », explique-t-il. Yarochkin a ajouté qu'il est possible que des pans entiers de systèmes Android aient été touchés, y compris dans les voitures. Il a déclaré : « il est facile pour eux d'infiltrer la chaîne d'approvisionnement. Et pour les fabricants, c'est vraiment difficile à détecter ».

Sources : Human Security, rapport de l'étude (PDF)

Et vous ?