De nouveaux malwares mettent en danger les propriétaires d’un appareil Android. Installés dès la sortie de l’usine, ces virus cherchent à voler vos données personnelles ou à vous inonder de publicités…
D’après les experts de TrendMicro, des millions de smartphones Android arrivent sur le marché avec des malwares préinstallés. Ces virus sont secrètement placés par des développeurs tiers, à l’insu des constructeurs, dès la sortie des appareils de l’usine.
De nombreuses marques, surtout des enseignes chinoises low cost, s’appuient en effet sur des sociétés externes pour développer une partie des logiciels de leurs systèmes d’exploitation. Ces développeurs peu scrupuleux profitent du partenariat avec le fabricant pour gonfler leurs revenus en affichant des publicités intrusives ou en volant vos données personnelles.
La stratégie des cybercriminels
Cette stratégie a de nombreux avantages. Comme l’expliquait Google en 2019, un malware préinstallé dispose d’un accès complet au système d’exploitation et passe aisément sous le radar de ses systèmes de sécurité. De plus, cette approche permet de toucher une foule de victimes.
« Si vous êtes en mesure d’infiltrer la chaîne logistique dès le départ, vous infectez autant d’utilisateurs que le nombre d’appareils vendus », déclarait Maddie Stone, chercheuse en sécurité pour le projet Zero de Google, en 2019.
Ces dernières années, de nombreux virus différents ont déjà été repérés sur des téléphones sortant des lignes de production. On se souviendra par exemple de Triada, identifié en 2018 sur plus de 40 smartphones à prix cassé, ou de Rottensys, un malware publicitaire ayant infecté sept millions de téléphones produits en Chine.
Près de neuf millions de smartphones touchés par Guerilla
Au cours de son enquête, TrendMicro explique avoir repéré un nouveau malware rôdant sur la chaîne d’approvisionnement d’une cinquantaine de marques différentes. Ce virus, baptisé Guerrilla, est parvenu à infecter au moins 8,9 millions de téléphones Android. Il est développé et utilisé par un groupe de pirates, « Lemon Group », depuis à peu près cinq ans.
D’après les chercheurs, le logiciel malveillant est conçu pour voler les données personnelles des utilisateurs. Une fois que le smartphone a été allumé pour la première fois, le virus va méticuleusement aspirer les informations des usagers. Grâce à une armée de plugins, le malware peut intercepter les SMS reçus, pour s’emparer de codes d’authentification de réseaux sociaux par exemple. Il est aussi taillé pour aspirer les données de votre compte Facebook, comme la liste d’amis, le profil, les adresses e-mail et les cookies liés au réseau social.
Ces précieuses données personnelles seront revendues à des sociétés spécialisées dans la publicité en ligne. Sur base des données récoltées, Guerilla va également afficher des publicités sur l’écran du téléphone. Ces annonces publicitaires intempestives risquent de ruiner l’autonomie de la batterie et les performances du smartphone. Pour propager leurs pubs ou d’autres virus, les pirates peuvent aussi envoyer des messages à votre insu sur WhatsApp.
« Les victimes verront des publicités inattendues lors du lancement d’applications officielles sur leurs appareils », explique TrendMicro.
Pire, le malware donne aux hackers un accès complet au téléphone. Ils peuvent alors se servir de l’appareil comme d’un proxy. TrendMicro révèle que Guerilla permet à un criminel d’utiliser votre smartphone à distance et à votre insu en le louant à la minute auprès de « Lemon Group ».
Des années avant la découverte de TrendMicro, Guerilla a été repéré pour la première fois sur le Google Play Store. Les experts de Sophos ont en effet débusqué le maliciel dans le code de quinze applications disponibles sur la boutique en 2018. Après avoir été téléchargées des millions de fois, les applications ont été bannies par Google.
Des Smart TV infectées
Selon TrendMicro, Guerilla n’est pas réservé aux smartphones. Les chercheurs ont découvert des traces du malware dans l’OS de certaines Smart TV Android, de boîtiers Android TV, d’écrans connectés ou de montres connectées pour enfants. Tous ces appareils exécutent le système d’exploitation de Google. Comme les téléphones, ils sont potentiellement truffés de logiciels malveillants dès leur production.
Un article de TechCrunch corrobore les constatations de TrendMicro. Le média relaie le témoignage de Daniel Milisic, un chercheur en sécurité informatique. L’expert a en effet découvert un virus appelé clickbot dans le micrologiciel de la puce de son décodeur Android, AllWinner T95. Celui-ci avait été acheté sur Amazon.
Ce maliciel est programmé pour afficher des publicités en arrière-plan. Cette pratique frauduleuse permet de générer rapidement des revenus publicitaires au détriment des annonceurs et des consommateurs. Alerté par la découverte de son confrère, Bill Budington, un autre chercheur en sécurité, a trouvé le virus dans plusieurs autres décodeurs Android vendus par AllWinner et RockChip, deux marques chinoises, sur Amazon.
Pour Daniel Milisic, le malware ne s’arrête pas là. En fait, celui-ci est conçu pour installer n’importe quel logiciel à distance, à votre insu. De plus, clickbot est à l’origine d’un botnet, un immense réseau de bots informatiques infectés par ses soins. Des pirates peuvent donc se servir de votre décodeur pour mener des attaques DDoS contre des sites…
source : 01net