Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

Le colonel Moutarde avec le ransomware 60
image dediée
Crédits : juniorbeep/iStock
Sécurité

36 smartphones Android, pour la plupart haut de gamme, sont touchés par un problème de malware. Ils ne les possédaient a priori pas en sortant de l’usine, mais sont passés entre les mains de deux entreprises non nommées. Elles auraient alors injecté ces menaces, dont le célèbre Loki.

Le problème a été détecté par la société de sécurité Check Point, au cours d’une vérification portant sur un lot de smartphones appartenant à deux grandes sociétés (dont une de télécoms). Il est ressorti que 36 exemplaires étaient infectés. Or, les malwares n’avaient pas été installés par l’utilisateur : ils étaient présents dès leur livraison.

De nombreux modèles de smartphones concernés

Le problème touche surtout des modèles haut de gamme de constructeurs comme ASUS, Lenovo, LG, Oppo, Samsung ou encore Xiaomi. Parmi tous ces smartphones, les chercheurs ont trouvé plusieurs familles de malwares, dont Loki et SLocker. Le premier est un cheval de Troie bien connu, l’autre un ransomware qui verrouille le smartphone en exigeant un paiement afin de récupérer les données personnelles (chiffrées via AES). Il utilise également Tor pour communiquer avec ceux qui l’utilisent. D’autres malwares avaient pour mission d’installer un réseau pirate de publicités.

Parmi les modèles concernés, on trouve les Galaxy S7, Note 2/3/4/5/8/Edge, Tab 2 et S2 de Samsung, le G4 de LG, le Zenfone 2 d’ASUS, le S90 et l’A850 de Lenovo, le Redmi et le Mi 4i de Xiaomi, les N3 et R7 Plus d’Oppo ou encore le X6 Plus de Vivo. Notons qu’initialement, les Nexus 5 et 5X étaient présents dans la liste, mais que la société les a enlevés, sans vraiment en préciser la raison.

Les ROM ont été modifiées après leur sortie d'usine

Ces constructeurs se seraient-ils amusés à distribuer sciemment de telles menaces ? Non, et c’est d’ailleurs le point intéressant de la découverte. À la manière du problème ayant affecté 1 250 modèles de webcams Wi-Fi, les smartphones étaient initialement intacts. Check Point indique en effet que les ROM étaient bien vierges de toute menace quand les produits sortaient de l’usine. Mais les appareils sont passées entre des mains inconnues avant d’être livrés.

Les malwares détectés sont particulièrement pénibles à éradiquer. Loki est apparu il y a environ un an et a fait depuis de nombreuses victimes. Il parvient à s’infiltrer assez profondément dans Android pour y récupérer des droits root. De là, il peut intercepter de très nombreuses informations (contacts, messages, historique des appels, géolocalisation…).

Des malwares difficiles à déloger

Selon Check Point, se débarrasser des deux malwares n’est pas simple, car beaucoup ont été ajoutés avec des droits système. Il faudrait pouvoir récupérer une ROM intacte depuis le constructeur et flasher l’appareil, en effaçant certes toute trace des menaces, mais également de toutes les autres données.

Pour Check Point, le danger n’est pas dans Android ou même chez les constructeurs, il est dans la confiance parfois toute relative que peut mettre un éventuel client dans son fournisseur. Les smartphones ont été modifiés entre l’usine et le point de vente, et on ne sait pas pour l’instant qui a effectué cette opération.

La question de l'auteur

La société de sécurité indique que rien ne permet encore d’affirmer que les fournisseurs sont responsables. Il pourrait s’agir d’une volonté de leur part de distribuer ces malwares, et dont autant de portes dérobées, mais Check Point estime qu’une attaque « opportuniste » pourrait avoir eu lieu quelque part entre eux et les constructeurs. La société penche d’ailleurs pour la deuxième solution, car ni Loki, ni SLocker ne sont difficiles à détecter.

Sans avertissement particulier de Check Point, il semble que la menace soit relativement circonscrite. Cependant, le conseil sera d’éviter des revendeurs proposant des tarifs qui semblent « trop beaux pour être vrais », ou que l’on ne connait pas.

Notez enfin que ce type de problème n'est pas nouveau. En novembre dernier, 55 modèles de terminaux Android étaient concernés par une menace de ce type, particulièrement le constructeur BLU. De nombreux patchs avaient été distribués au cours des semaines suivantes.

Publiée le 14/03/2017 à 16:30
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...