Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

Le colonel Moutarde avec le ransomware

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

14/03/2017 4 minutes
60

Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

36 smartphones Android, pour la plupart haut de gamme, sont touchés par un problème de malware. Ils ne les possédaient a priori pas en sortant de l’usine, mais sont passés entre les mains de deux entreprises non nommées. Elles auraient alors injecté ces menaces, dont le célèbre Loki.

Le problème a été détecté par la société de sécurité Check Point, au cours d’une vérification portant sur un lot de smartphones appartenant à deux grandes sociétés (dont une de télécoms). Il est ressorti que 36 exemplaires étaient infectés. Or, les malwares n’avaient pas été installés par l’utilisateur : ils étaient présents dès leur livraison.

De nombreux modèles de smartphones concernés

Le problème touche surtout des modèles haut de gamme de constructeurs comme ASUS, Lenovo, LG, Oppo, Samsung ou encore Xiaomi. Parmi tous ces smartphones, les chercheurs ont trouvé plusieurs familles de malwares, dont Loki et SLocker. Le premier est un cheval de Troie bien connu, l’autre un ransomware qui verrouille le smartphone en exigeant un paiement afin de récupérer les données personnelles (chiffrées via AES). Il utilise également Tor pour communiquer avec ceux qui l’utilisent. D’autres malwares avaient pour mission d’installer un réseau pirate de publicités.

Parmi les modèles concernés, on trouve les Galaxy S7, Note 2/3/4/5/8/Edge, Tab 2 et S2 de Samsung, le G4 de LG, le Zenfone 2 d’ASUS, le S90 et l’A850 de Lenovo, le Redmi et le Mi 4i de Xiaomi, les N3 et R7 Plus d’Oppo ou encore le X6 Plus de Vivo. Notons qu’initialement, les Nexus 5 et 5X étaient présents dans la liste, mais que la société les a enlevés, sans vraiment en préciser la raison.

Les ROM ont été modifiées après leur sortie d'usine

Ces constructeurs se seraient-ils amusés à distribuer sciemment de telles menaces ? Non, et c’est d’ailleurs le point intéressant de la découverte. À la manière du problème ayant affecté 1 250 modèles de webcams Wi-Fi, les smartphones étaient initialement intacts. Check Point indique en effet que les ROM étaient bien vierges de toute menace quand les produits sortaient de l’usine. Mais les appareils sont passées entre des mains inconnues avant d’être livrés.

Les malwares détectés sont particulièrement pénibles à éradiquer. Loki est apparu il y a environ un an et a fait depuis de nombreuses victimes. Il parvient à s’infiltrer assez profondément dans Android pour y récupérer des droits root. De là, il peut intercepter de très nombreuses informations (contacts, messages, historique des appels, géolocalisation…).

Des malwares difficiles à déloger

Selon Check Point, se débarrasser des deux malwares n’est pas simple, car beaucoup ont été ajoutés avec des droits système. Il faudrait pouvoir récupérer une ROM intacte depuis le constructeur et flasher l’appareil, en effaçant certes toute trace des menaces, mais également de toutes les autres données.

Pour Check Point, le danger n’est pas dans Android ou même chez les constructeurs, il est dans la confiance parfois toute relative que peut mettre un éventuel client dans son fournisseur. Les smartphones ont été modifiés entre l’usine et le point de vente, et on ne sait pas pour l’instant qui a effectué cette opération.

La question de l'auteur

La société de sécurité indique que rien ne permet encore d’affirmer que les fournisseurs sont responsables. Il pourrait s’agir d’une volonté de leur part de distribuer ces malwares, et dont autant de portes dérobées, mais Check Point estime qu’une attaque « opportuniste » pourrait avoir eu lieu quelque part entre eux et les constructeurs. La société penche d’ailleurs pour la deuxième solution, car ni Loki, ni SLocker ne sont difficiles à détecter.

Sans avertissement particulier de Check Point, il semble que la menace soit relativement circonscrite. Cependant, le conseil sera d’éviter des revendeurs proposant des tarifs qui semblent « trop beaux pour être vrais », ou que l’on ne connait pas.

Notez enfin que ce type de problème n'est pas nouveau. En novembre dernier, 55 modèles de terminaux Android étaient concernés par une menace de ce type, particulièrement le constructeur BLU. De nombreux patchs avaient été distribués au cours des semaines suivantes.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De nombreux modèles de smartphones concernés

Les ROM ont été modifiées après leur sortie d'usine

Des malwares difficiles à déloger

La question de l'auteur

Commentaires (60)


:O



Mais à part ça tout va bien…


Sony n’a pas l’air touché par ce fait mais je ne me réjouis pas pour autant…



Bref, la vie continue…


Quand il n’y a même plus besoin ni de vulnérabilité, ni de faille, on touche un peu au but ultime de certaines organisations.


Y a des outils pour savoir si l’on est affectée par une quelconque menace ? Pas besoin d’un outil qui nettoie, mais juste prévenir ça serait pas mal déjà.


+1, j’ai un G4 et j’attendais l’article pour en plus savoir comment les repérer et déterminer si mon tel est sain :(


Bon, j’imagine que mon Asus est sensible à ce cas. Merci Asus de promettre des mises à jour vers Android 6 mais sans la mettre disponible autrement qu’en l’installant manuellement :<


Il peut aussi y avoir des compromissions dans l’usine elle même, ce qui simplifierai d’ailleurs beaucoup la chose pour les attaquant : injecter directement une ROM compromise plutôt que de sortir le téléphone de sa boite, le cracker avec une faille 0-day, écrire la ROM et réinsérer le téléphone sans trace d’ouverture….


D’apres une news sur un site concurrent : malwarebyte, ou l’outil proposé par checkpoint, sauf que ce dernier ne m’inspirait pas pour la raison de “juge et partie”, et les commentaires dans le playstore me donnent d’autres raisons de ne pas l’installer.


Vu les informations à récupérer, il faudrait un scanning des fichiers sytèmes en root pour la détection. Et à mon sens, il faudrait vraiment une très grande confiance dans l’outil pour autoriser une telle chose sur son téléphone.


(Malwares) …..ils étaient présents dès leur livraison.                                                                                                         

     mais, où va-t-on ?




  • en QUI avoir confiance …maintenant ? <img data-src=" />


Le principal malware détecté c’est android ?








vizir67 a écrit :





  • en QUI avoir confiance …maintenant ? <img data-src=" />





    En apple, et surtout microsoft









ToMMyBoaY a écrit :



Quand il n’y a même plus besoin ni de vulnérabilité, ni de faille, on touche un peu au but ultime de certaines organisations.





+1….



Pas vraiment puisque les malware ne proviennent pas du constructeur, il faut avoir confiance en toute la chaîne d’approvisionnement<img data-src=" />


Des inconnus qui ont modifié les roms avant leur livraison, ça veut dire que des tels livrés par orange/sfr/bouygues peuvent être vérolé aussi ou comme dit dans l’article, ça vient de vendeurs autres genre petites boutiques ?








Drepanocytose a écrit :



En apple, et surtout microsoft







Bof ils sont tous capable de nous espionner au final… Carrier IQ en est la preuve.

Et puis ici on parle _ a priori _ d’actes de malveillances, et vu les conditions de fabrications d’iDevices, celà peut aussi arriver à Apple.



Pour Microsoft ils ont la parade ultime : vu la demande, les téléphones sont assemblés à la main directement par Billou <img data-src=" />



Perso je viens de mettre Nougat sur mon Zenfone 2 <img data-src=" /> via la rom Resurection Remix.

Ca marche plutôt pas mal pour l’instant.








CryoGen a écrit :



Bof ils sont tous capable de nous espionner au final… Carrier IQ en est la preuve.

Et puis ici on parle _ a priori _ d’actes de malveillances, et vu les conditions de fabrications d’iDevices, celà peut aussi arriver à Apple.



Pour Microsoft ils ont la parade ultime : vu la demande, les téléphones sont assemblés à la main directement par Billou <img data-src=" />





ce qui laisse a billou pas mal de temps libre en plus, c’est plus un mi-temps, voir un tier-temps



Pas sur iPhone du coup ?








Drepanocytose a écrit :



En apple, et surtout microsoft





Quand tu vois l’état de leur boutique ça fait pas envie <img data-src=" />



On y trouve :

HP Elite X3 … sympa mais horriblement cher

Acer Liquid Jade Primo … il ne reçoit plus les mises à jour parce que Acer à laissé tomber

Lumia 950 XL : “dernière pièces disponibles”, le fameux Snapdragon 810 qui chauffe trop

Lumia 650 : “rupture de stock”

Lumia 640 : “rupture de stock”

Lumia 640 XL : sorti en avril 2015, avec un SoC milieu de gamme qui date de fin 2013

Lumia 550 : “dernières pièces disponibles” , un téléphone de fin 2015, avec un SoC bas de gamme de fin 2014









CryoGen a écrit :



Bof ils sont tous capable de nous espionner au final… Carrier IQ en est la preuve.

Et puis ici on parle _ a priori _ d’actes de malveillances, et vu les conditions de fabrications d’iDevices, celà peut aussi arriver à Apple.





faut voir qui installe iOS sur les terminaux… c’est fait chez Foxconn aussi?



Vu que les téléphones sont livrés dans un emballage scellé, l’installation des malwares a lieu avant la mise en boîte, ou sait-on si ils sont ré-emballés ?

<img data-src=" />








hellmut a écrit :



faut voir qui installe iOS sur les terminaux… c’est fait chez Foxconn aussi?





Apple force la vérification de signature d’iOS sur ses terminaux. Seul un jailbreak permet de faire sauter ce verrou. C’est certes techniquement possible mais beaucoup plus contraignant qu’avec Android puisqu’il n’existe quasiment aucun jailbreak fiable depuis 9.3.4 (Yalu est une beta pas franchement stable pour IOS10).



Un jour, tout le monde achètera des blackberry&nbsp;<img data-src=" />


Tout va bien chez Samsung …



Après les batteries explosives, les laves lignes fous, le scandale financier, les valses de composants, voilà maintenant le malware livré d’origine …



&nbsp;Bon, troll à part, il y a de quoi se poser de sérieuses questions sur la sécurité de l’informatique (tous secteurs confondus) dans les mois / années à venir … :/


Tssss c’est un coup de Darty et de la fnac ça ;-)

Après l’idéal est de flasher une rom “garantie” saine : un téléphone pas à jour aura le droit à son nouveau firmware au déballage, ou sinon un Lineage OS ou autre…

Mais bon je ne vois pas l’utilisateur lambda faire ça…


“Notons qu’initialement, les Nexus 5 et 5X étaient présents dans la liste, mais que la société les a enlevés, sans vraiment en préciser la raison”

Ils ont recu un appel de google <img data-src=" />


Enfin , ils ont trouvé 36-38 tel infectés , mais ils ne parlent pas de nombre de tel inspectés , facile de faire peur après


Dans ce genre de cas, la boite n’est plus scellé, je pense que l’article fait référence aux revendeurs chinois, comme gearbest, par exemple, qui sous couvert de vérifier le bon fonctionnement des appareils envoyés se permet de desceller les boites.



Dans les faits, il ne s’agit pas tant de vérifier le bon fonctionnement que d’installer quelconques logiciels malveillant. Cependant, en général c’est plutôt de la pub qu’ils installent du type, ça change la page d’accueil de ton internet browser ou ça t’ouvres des pages web aléatoirement pour t’afficher de la pub.



Si l’on cherche un peu d’information autours de ces sites, on se rend compte que la plupart des clients conseillent fortement d’installer la ROM du constructeur dès la réception du téléphone afin de s’assurer de wipe toutes modifications non désirées de l’appareil.



Le problème, c’est que certaines sociétés chinoise, comme Xiaomi citée dans l’article, refuse d’exporter leurs téléphones et si on en veut un, on est obligé de passer par ces sites peu scrupuleux, tout en payant le double du prix d’origine…


Bon, j’ai un Zenfone 2 d’ASUS, comment je fais pour savoir si mon tel est infecté ?








Fusio a écrit :



Vu que les téléphones sont livrés dans un emballage scellé, l’installation des malwares a lieu avant la mise en boîte, ou sait-on si ils sont ré-emballés ?

<img data-src=" />





+1 Comment ils font ?



Pour éradiquer ce genre de virus, deux solutions : restaurer les paramètres d’usine de l’appareil, ou installer une solution de sécurité complète sur le mobile. Rappelons que ce genre de solution est souvent gratuite, ou intégrée dans l’abonnement à une suite de sécurité pour Windows. &gt;&gt; Antivirus : quelle est la meilleure suite de sécurité ?&nbsp;

www.tomsguide.fr









Arkeen a écrit :



Bon, j’ai un Zenfone 2 d’ASUS, comment je fais pour savoir si mon tel est infecté ?





Le logiciel de l’éditeur source de cet article a vraiment de mauvais commentaires <img data-src=" />

Tente MalwareByte peut-être.



j’ai un Nexus 5x depuis 18mois et j’ai jamais rien vu de bizarre. J’ai eut un note 3 avant cela et pareil aucun malware à signaler.



par contre j’ai une tablette chinoise à base de intel atom et là il y avait bien 3 malware gratuit fournis avec l’OS.



c’est une news à prendre avec des pincettes surtout le ‘ mais sont passés entre les mains de deux entreprises non nommées. Elles auraient alors injecté ces menaces, dont le célèbre Loki ’



le seul loki que je connaisse sur android, c’est un outil pour déverrouiller le bootloader de certains phones ( et ca marche pas sur tous, à moins de vouloir une brique )



Sur XDA il y aucune trace de discussion sur ce malware très connu qui s’appellerait Loki. info ou intox ?




le Redmi et le Mi 4i de Xiaomi





Lequel de Redmi ? Toute la gamme ?



J’ai reçu mon 3S hier, je sens que j’ai encore fait le bon choix <img data-src=" />



&nbsp;


J’ai du pas mal chercher aussi.



Android.loki est très récent (décembre 2016) mais il a plusieurs noms.








 Alias   

ESET: a variant of Android/HiddenApp.AU trojan

Kaspersky Lab: HEUR:Trojan.AndroidOS.Hiddad.ao

G Data: Android.Trojan.HiddenAds.FU

Dr. Web: Android.Loki.10.origin







Jarodd a écrit :



Lequel de Redmi ? Toute la gamme ?



J’ai reçu mon 3S hier, je sens que j’ai encore fait le bon choix <img data-src=" />



&nbsp;



&nbsp;

Pas trop grave pour Xiaomi les roms sont accessible et sont&nbsp; facile à réinstaller faut juste être au courant.

Le top ça reste de passer&nbsp; passer sur une rom alternative de confiance mais ça reste plus compliqué (déjà concernant Xiaomi il faut passer l’étape du service d’unlock à la ramasse).



Pour preuve qu’Android est fait pour être une passoire à destination de celui qui veut (et en premier lieu des US gouvernementaux).

je n’ai pas dit que c’est un mauvais système.

je dis que c’est un système prévu pour purger jusqu’à la dernière lie de la vie privée des gens.

d’où la mort des Nokia et autres blackberry inefficaces à comprendre ce genre de concept.

de plus en plus je me replie des plateformes facebooks et autre periscope,mais devrais je revenir au 3310 d’origine? (pas le nouveau).

&nbsp;


OnePlus la base.


” Mais les appareils sont passées entre des mains inconnues avant d’être livrés.”



La main invisible du destin, certainement. Un peu comme les detournements de cisco à la douane par la NSA pour les ourvrir et leur coller des chips de backdoor.








Arkeen a écrit :



Bon, j’ai un Zenfone 2 d’ASUS, comment je fais pour savoir si mon tel est infecté ?





J’ai failli en acheter un samedi à 130€… <img data-src=" />



Puis y’a l’appli “Sécurité” (bien pratique par ailleurs), donc on est tranquille.









<img data-src=" />


Il est tres facile de repackager une boite.





Fusio a écrit :



Vu que les téléphones sont livrés dans un emballage scellé, l’installation des malwares a lieu avant la mise en boîte, ou sait-on si ils sont ré-emballés ?

<img data-src=" />





Il est tres facile de repackager une boite, bien plus de d’injecter des roms vérolées au beau milieu de l’usine… .



Ca dépend, tu paies combien ?


Sérieusement, le prix est ta référence pour détecter les tél infectés ?

J’ai connu NXI plus averti.









Vincent a écrit :



Sans avertissement particulier de Check Point, il semble que la menace soit relativement circonscrite. Cependant, le conseil sera d’éviter des revendeurs proposant des tarifs qui semblent « trop beaux pour être vrais », ou que l’on ne connait pas.







Il y a plus technique comme conseil <img data-src=" />

Quand un pigeon est prêt à être tondu, le prix bas ne sert à rien.









wagaf a écrit :



Il peut aussi y avoir des compromissions dans l’usine elle même, ce qui simplifierai d’ailleurs beaucoup la chose pour les attaquant : injecter directement une ROM compromise plutôt que de sortir le téléphone de sa boite, le cracker avec une faille 0-day, écrire la ROM et réinsérer le téléphone sans trace d’ouverture….









ToMMyBoaY a écrit :



Vu les informations à récupérer, il faudrait un scanning des fichiers sytèmes en root pour la détection. Et à mon sens, il faudrait vraiment une très grande confiance dans l’outil pour autoriser une telle chose sur son téléphone.



si vous avez un si grand doute, vous n’avez qu’à récupérer une ROM constructeur vierge et l’insérer à la place de votre originale douteux.



Perso, à la recherche d’un smartphone d’appoint double SIM, j’étais tenté par un Android Motorola ( qui semble avoir le moins de surcouche), mais je me pose de plus en plus de question sur cet OS très fortement décrié.

Je crains que ce soit très mauvais pour les consommateurs au final qui ont de moins en moins de choix..


Moi, je suis bien sur mon Windows Phone, pas de soucis&nbsp;<img data-src=" />


On va devoir retourner sur les téléphones basique (j’ai encore un 3310 de vielle époque qui fonctionne et un 6600 slide) et prendre un PDA pour être tranquille ? x)

Moi qui pensait changer depuis quelques jours en lisant cela… donc pour le moment je vais garder mon BBerry Z30 (Qui dit qu’au final ce n’est pas la même ?) :(


sinon, il y a les Jolla Phone et de maniere plus générale SailfishOS, le seul OS mobile vraiment open source et maintenu ?


à ce niveau là, c’est surtout un emploi fictif&nbsp;<img data-src=" />


Une question a l’auteur:

J’aurais bien aimé savoir comment se fournissent les sociétés de questions voire de télécoms en général.

J’imagine que ce serait un gros sujet en soit. Mais la il me manquerait une pièce d’un puzzle.

J’aimerais connaître la mécanique de la chaîne des processus allant de la fabrique, jusqu’à nos mains.

Jusqu’à maintenant je pensais que de la fabrique, les appareils, arrivaient directement dans le stock de ces sociétés via une boite de livraison, après une commande.

Il semblerait que l’acheminement serait beaucoup plus complexe, puisque il existe un organisme qui control la qualité a ce niveau la.








Paraplegix a écrit :



à ce niveau là, c’est surtout un emploi fictif&nbsp;<img data-src=" />





c’est claire que si un juge te demande “et c’était quoi votre emploie chez ms” et que tu réponds “assembleur de wphone” tu finis en taule directe









psn00ps a écrit :



Sérieusement, le prix est ta référence pour détecter les tél infectés ?



oui



Oui enfin là ce n’est pas un problème d’opensource ou de maintenance.



Et puis Sailfish n’a pas l’air de ce démocratiser dans nos contrées… Jolla préférant la Russie.



Et puis dans me ssouvenirs, Sailfish n’était pas complètement open source d’ailleurs.








psn00ps a écrit :



Sérieusement, le prix est ta référence pour détecter les tél infectés ?





bah oui : s’il est légèrement plus cher que le prix public conseillé ou qu’il est au niveau “affaire de la décennie” (par opposition à affaire du siècle), ça indique clairement que le distributeur répercute le cout de maintenance occasionné par le flashage avec une version malwarisée de la ROM et donc qu’il y a anguille sous roche <img data-src=" /> <img data-src=" />



+1 <img data-src=" />


Tu n’en sais rien en fait, vu que personne semble ne s’y intéresser, aucune boite de sécurité ne s’est penché sur ta plateforme <img data-src=" />


heu, pas tout à fait, ce sont les terminaux qui, lors des contest d’attaques externes s’en sortent le mieux face à IOS et Android en 0-day…



mais bien tenté&nbsp;<img data-src=" />&nbsp;<img data-src=" />


Ca ne veut absolument pas dire qu’il n’y a aucun malware semi-<img data-src=" />


Ouah ! Des appareils passés par des mains invisibles, qui auraient des malwares installés, qui seraient bien sur tous de fabrication / conception / commande non Américaine, et dont le critère pour les reconnaitre serait le prix !

En plus on apprend que bien que ces 3 grand amérloques ne soient pas dans la liste, ils en auraient même été retirés.



Next Inpact, chaque jour un peu plus le CLOSER de l’informatique !