Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

Le problème a été détecté par la société de sécurité Check Point, au cours d’une vérification portant sur un lot de smartphones appartenant à deux grandes sociétés (dont une de télécoms). Il est ressorti que 36 exemplaires étaient infectés. Or, les malwares n’avaient pas été installés par l’utilisateur : ils étaient présents dès leur livraison.

De nombreux modèles de smartphones concernés

Le problème touche surtout des modèles haut de gamme de constructeurs comme ASUS, Lenovo, LG, Oppo, Samsung ou encore Xiaomi. Parmi tous ces smartphones, les chercheurs ont trouvé plusieurs familles de malwares, dont Loki et SLocker. Le premier est un cheval de Troie bien connu, l’autre un ransomware qui verrouille le smartphone en exigeant un paiement afin de récupérer les données personnelles (chiffrées via AES). Il utilise également Tor pour communiquer avec ceux qui l’utilisent. D’autres malwares avaient pour mission d’installer un réseau pirate de publicités.

Parmi les modèles concernés, on trouve les Galaxy S7, Note 2/3/4/5/8/Edge, Tab 2 et S2 de Samsung, le G4 de LG, le Zenfone 2 d’ASUS, le S90 et l’A850 de Lenovo, le Redmi et le Mi 4i de Xiaomi, les N3 et R7 Plus d’Oppo ou encore le X6 Plus de Vivo. Notons qu’initialement, les Nexus 5 et 5X étaient présents dans la liste, mais que la société les a enlevés, sans vraiment en préciser la raison.

Les ROM ont été modifiées après leur sortie d'usine

Ces constructeurs se seraient-ils amusés à distribuer sciemment de telles menaces ? Non, et c’est d’ailleurs le point intéressant de la découverte. À la manière du problème ayant affecté 1 250 modèles de webcams Wi-Fi, les smartphones étaient initialement intacts. Check Point indique en effet que les ROM étaient bien vierges de toute menace quand les produits sortaient de l’usine. Mais les appareils sont passées entre des mains inconnues avant d’être livrés.

Les malwares détectés sont particulièrement pénibles à éradiquer. Loki est apparu il y a environ un an et a fait depuis de nombreuses victimes. Il parvient à s’infiltrer assez profondément dans Android pour y récupérer des droits root. De là, il peut intercepter de très nombreuses informations (contacts, messages, historique des appels, géolocalisation…).

Des malwares difficiles à déloger

Selon Check Point, se débarrasser des deux malwares n’est pas simple, car beaucoup ont été ajoutés avec des droits système. Il faudrait pouvoir récupérer une ROM intacte depuis le constructeur et flasher l’appareil, en effaçant certes toute trace des menaces, mais également de toutes les autres données.

Pour Check Point, le danger n’est pas dans Android ou même chez les constructeurs, il est dans la confiance parfois toute relative que peut mettre un éventuel client dans son fournisseur. Les smartphones ont été modifiés entre l’usine et le point de vente, et on ne sait pas pour l’instant qui a effectué cette opération.

La question de l'auteur

La société de sécurité indique que rien ne permet encore d’affirmer que les fournisseurs sont responsables. Il pourrait s’agir d’une volonté de leur part de distribuer ces malwares, et dont autant de portes dérobées, mais Check Point estime qu’une attaque « opportuniste » pourrait avoir eu lieu quelque part entre eux et les constructeurs. La société penche d’ailleurs pour la deuxième solution, car ni Loki, ni SLocker ne sont difficiles à détecter.

Sans avertissement particulier de Check Point, il semble que la menace soit relativement circonscrite. Cependant, le conseil sera d’éviter des revendeurs proposant des tarifs qui semblent « trop beaux pour être vrais », ou que l’on ne connait pas.

Notez enfin que ce type de problème n'est pas nouveau. En novembre dernier, 55 modèles de terminaux Android étaient concernés par une menace de ce type, particulièrement le constructeur BLU. De nombreux patchs avaient été distribués au cours des semaines suivantes.