L’éditeur Dr.Web a détecté une quarantaine de modèles dont le firmware est infecté par un malware et qui, par conséquent, peut prendre le contrôle de l’appareil.
Le phénomène des smartphones Android vérolés depuis l’usine se poursuit. En 2015, un rapport de GData pointait déjà sur ce phénomène, épinglant au passage une vingtaine de modèles avec malwares préinstallés. L’éditeur russe Dr.Web vient maintenant de détecter une quarantaine de smartphones Android à bas coût dont le firmware intègre un cheval de Troie. Parmi les marques impactées figurent Leagoo, Doogee, iLife, Vertex, Advan, Cherry Mobile ou Haier. L’intitulé des modèles est disponible sur le site de Dr.Web qui souligne que cette liste est loin d’être exhaustive et que ces modèles peuvent être commercialisés dans le monde entier.
Baptisé Android.Triada.231, le malware détecté par l’éditeur se loge dans Zygote, un processus clé du système d’exploitation Android qui est utilisé pour lancer tous les applications sur le smartphone. C’est donc un endroit idéal pour prendre le contrôle de l’appareil. Le malware peut voler toutes sortes de données: identifiants bancaires, mots de passe, historique de navigation. Il peut également installer d’autres applications sur le terminal.
Un éditeur de Shanghai serait la source
Selon DrWeb, le cheval de Troie est injecté durant la compilation du système d’exploitation. Il semble que le source de l’infection soit un éditeur de logiciel de Shanghai qui noue des partenariats avec les fabricants dans le but d’inclure des logiciels tiers dans les appareils. Malheureusement, les fabricants ne se rendent pas compte que ces logiciels tiers sont malveillants (à moins qu’ils soient de mèche).
Cet éditeur de Shanghai a visiblement l’habitude des coups fourrés. La signature d’Android.Triada.231 est la même que celle d’Android.Muldrop.294, un cheval de Troie publicitaire, détecté en 2016 dans Google Play sous la forme d’une banale application utilitaire.