Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux, Plus de 200 fabricants d'appareils ont été mis à rude épreuve 531PARTAGES 9 0 Lorsquun utilisateur télécharge accidentellement des logiciels malveillants de Google Play Store, cest une chose, mais lorsque de dangereux malwares sont installés à lusine et livrés en carton en même temps quun smartphone, cela devient extrêmement préoccupant. Cependant, cest sur cette deuxième option que l'équipe de recherche sur la sécurité de Google a attiré lattention des utilisateurs, le jeudi dernier lors de lévénement Black Hat USA 2019 qui sest tenu du 3 au 8 août à Las Vegas. Selon léquipe de sécurité de Google, des millions de smartphones Android neufs sont achetés avec ce genre de logiciels installés en usine, a rapporté le magazine Forbes le samedi.



Google a averti sur le danger pour les propriétaires de téléphones qui ne se doutent de rien, ayant confiance dans la sécurité et dans le fait que les appareils sont neufs. En effet, une partie de ces malwares préinstallés peut télécharger d'autres malware en arrière-plan, commettre une fraude publicitaire, ou même prendre le contrôle du périphérique hôte, a rapporté le magazine. Selon le rapport, cest sur le projet Open-Source d'Android (AOSP), une alternative moins coûteuse que la version complète, que le danger a un impact.





Android est une communauté open-source florissante, ce qui est formidable pour l'innovation, mais pas tant que ça lorsque les acteurs avec de mauvaises intentions saisissent l'opportunité de cacher les logiciels malveillants dans les logiciels de base qui sont ensuite livrés avec les appareils. Les nouveaux téléphones peuvent avoir jusqu'à 400 applications installées en usine, dont plusieurs n'ont pas été vérifiées. Toutefois, elles fonctionneront très souvent comme prévu, ne laissant planer aucun doute sur les mauvaises intentions des attaquants qui les ont conçus.



Selon le rapport de Zak Doffman, contributeur au magazine Forbes, Maddie Stone, chercheuse en sécurité pour le Projet Zéro de Google, a partagé les conclusions de son équipe lors de lévénement Black Hat la semaine dernière. Elle a averti que « Si les logiciels malveillants ou les problèmes de sécurité se présentent sous la forme d'applications préinstallées, les dommages qu'ils peuvent causer sont plus importants, et c'est pourquoi nous avons besoin de tant de révision, d'audit et d'analyse ».

Toutefois, les utilisateurs dappareils équipés de la version complète d'Android comme Samsung et Google sont à l'abri de ce risque particulier. AOSP étant installé sur les smartphones à moindre coût où les alternatives logicielles moins chères aident à maintenir les prix bas.



Mme Stone a averti que l'avantage de linstallation des malwares à lusine, pour un acteur malveillant, est qu'il n'a « qu'à convaincre une seule entreprise d'inclure son application, plutôt que des milliers d'utilisateurs ». L'équipe de Google n'a révélé aucun détail sur les marques de téléphones concernés, mais, selon elle, plus de 200 fabricants d'appareils ont été mis à rude épreuve, les logiciels malveillants permettant aux appareils d'être attaqués à distance, daprès le rapport.



Selon M. Doffman, les propriétaires des téléphones infectés ont été victimes de deux campagnes de logiciels malveillants particulièrement virulentes : Chamois et Triada. Le malware Chamois génère diverses techniques de fraudes publicitaires, installe des applications d'arrière-plan, télécharge des plugins et peut même envoyer des messages texte payants, daprès le rapport. Léquipe de sécurité de Google a découvert que le chamois seul était installé sur 7,4 millions d'appareils. Quant à Triada, cest une ancienne variante de logiciels malveillants, qui affiche également des publicités et installe des applications.



Google combat les portes dérobées dans Android depuis longtemps



Les applications malveillantes de la « famille Triada », conçues pour mettre du spam et de la publicité sur un appareil Android, ont fait leurs débuts en 2016. Ces applications avaient été retrouvées en 2017





« Libandroid_runtime.so est utilisé par toutes les applications Android, ce qui fait que le malware se retrouve injecté dans la zone de mémoire de toutes les applications en cours de fonctionnement », avait expliqué la firme. Dr. Web avait ajouté que « la fonction principale de ce malware est de télécharger des composants malicieux supplémentaires. ».



En juin 2019, Google avait confirmé, dans un billet de blog, que ces applications avaient pu être préinstallées



Google s'efforce d'aider les fabricants de dispositifs à dépister de telles vulnérabilités. Entre mars 2018 et mars 2019, Mme Stone affirme que ce dépistage a contribué à réduire le nombre de dispositifs infectés par le chamois de 7,4 millions à « seulement » 700 000, selon le rapport de Forbes. « L'écosystème Android est vaste, avec une grande diversité d'équipementiers et de personnalisations  si vous êtes capable d'infiltrer la chaîne d'approvisionnement, vous avez déjà autant d'utilisateurs infectés que d'appareils vendus  c'est pourquoi c'est une perspective plus effrayante », a-t-elle a averti.



Les portes dérobées continues à être insérées dans les appareils Android alors quen 2018 Google a mis en place de



« L'un de ces tests de sécurité analyse les PHA (applications potentiellement nuisibles) préinstallées incluses dans l'image du système ». « Si nous trouvons une PHA dans la compilation, nous travaillons avec le partenaire OEM pour remédier à la situation et retirer la PHA de la compilation avant qu'elle puisse être offerte aux utilisateurs », ont ajouté les responsables de Google dans leur rapport.



Ce qui est très préoccupant est que les propriétaires des téléphones ne peuvent pas faire grand-chose contre ce genre dapplications préinstallées. Ils ne peuvent que se fier aux fabricants et à Google.



Source :



Et vous ?



Quen pensez-vous ?

Selon vous, qui est responsable de la persistance des malwares dans Android ?

Google parviendra-t-il a éradiqué les portes dérobées du système Android ?



Lire aussi



Google confirme que la porte dérobée avancée a été préinstallée sur les appareils Android, avant qu'ils ne quittent les usines des fabricants

Les crypto-mineurs ont encore dominé le classement des malwares ayant eu le plus d'impact, dans l'édition de janvier du Global Threat Index

Les smartphones Android Leagoo et Nomu sont livrés avec un cheval de Troie préinstallé, d'après la firme de sécurité Dr. Web

Facebook : aucune « porte dérobée » de sécurité n'est prévue pour WhatsApp, qui permettrait d'analyser les messages non chiffrés sur les téléphones Lorsquun utilisateur télécharge accidentellement des logiciels malveillants de Google Play Store, cest une chose, mais lorsque de dangereux malwares sont installés à lusine et livrés en carton en même temps quun smartphone, cela devient extrêmement préoccupant. Cependant, cest sur cette deuxième option que l'équipe de recherche sur la sécurité de Google a attiré lattention des utilisateurs, le jeudi dernier lors de lévénement Black Hat USA 2019 qui sest tenu du 3 au 8 août à Las Vegas. Selon léquipe de sécurité de Google, des millions de smartphones Android neufs sont achetés avec ce genre de logiciels installés en usine, a rapporté le magazine Forbes le samedi.Google a averti sur le danger pour les propriétaires de téléphones qui ne se doutent de rien, ayant confiance dans la sécurité et dans le fait que les appareils sont neufs. En effet, une partie de ces malwares préinstallés peut télécharger d'autres malware en arrière-plan, commettre une fraude publicitaire, ou même prendre le contrôle du périphérique hôte, a rapporté le magazine. Selon le rapport, cest sur le projet Open-Source d'Android (AOSP), une alternative moins coûteuse que la version complète, que le danger a un impact.Android est une communauté open-source florissante, ce qui est formidable pour l'innovation, mais pas tant que ça lorsque les acteurs avec de mauvaises intentions saisissent l'opportunité de cacher les logiciels malveillants dans les logiciels de base qui sont ensuite livrés avec les appareils. Les nouveaux téléphones peuvent avoir jusqu'à 400 applications installées en usine, dont plusieurs n'ont pas été vérifiées. Toutefois, elles fonctionneront très souvent comme prévu, ne laissant planer aucun doute sur les mauvaises intentions des attaquants qui les ont conçus.Selon le rapport de Zak Doffman, contributeur au magazine Forbes, Maddie Stone, chercheuse en sécurité pour le Projet Zéro de Google, a partagé les conclusions de son équipe lors de lévénement Black Hat la semaine dernière. Elle a averti que « Si les logiciels malveillants ou les problèmes de sécurité se présentent sous la forme d'applications préinstallées, les dommages qu'ils peuvent causer sont plus importants, et c'est pourquoi nous avons besoin de tant de révision, d'audit et d'analyse ».Toutefois, les utilisateurs dappareils équipés de la version complète d'Android comme Samsung et Google sont à l'abri de ce risque particulier. AOSP étant installé sur les smartphones à moindre coût où les alternatives logicielles moins chères aident à maintenir les prix bas.Mme Stone a averti que l'avantage de linstallation des malwares à lusine, pour un acteur malveillant, est qu'il n'a « qu'à convaincre une seule entreprise d'inclure son application, plutôt que des milliers d'utilisateurs ». L'équipe de Google n'a révélé aucun détail sur les marques de téléphones concernés, mais, selon elle, plus de 200 fabricants d'appareils ont été mis à rude épreuve, les logiciels malveillants permettant aux appareils d'être attaqués à distance, daprès le rapport.Selon M. Doffman, les propriétaires des téléphones infectés ont été victimes de deux campagnes de logiciels malveillants particulièrement virulentes : Chamois et Triada. Le malware Chamois génère diverses techniques de fraudes publicitaires, installe des applications d'arrière-plan, télécharge des plugins et peut même envoyer des messages texte payants, daprès le rapport. Léquipe de sécurité de Google a découvert que le chamois seul était installé sur 7,4 millions d'appareils. Quant à Triada, cest une ancienne variante de logiciels malveillants, qui affiche également des publicités et installe des applications.Les applications malveillantes de la « famille Triada », conçues pour mettre du spam et de la publicité sur un appareil Android, ont fait leurs débuts en 2016. Ces applications avaient été retrouvées en 2017 préinstallées sur un certain nombre dappareils mobiles Android , dont les smartphones de marques Leagoo (modèles M5 plus et M8) et Nomu (modèles S10 et S20). La découverte avait été faite par la firme de sécurité Dr. Web. La firme a dit à lépoque que ces applications pouvaient être utilisées par des cybercriminels pour prendre le contrôle des appareils infectés. Les programmes malicieux de cette famille dapplications sattaquent au processus système dénommé Zygote (le lanceur des processus dapplications tierces). En sinjectant dans Zygote, ces malwares peuvent ainsi sinfiltrer dans tous les autres processus, selon Dr. Web.« Libandroid_runtime.so est utilisé par toutes les applications Android, ce qui fait que le malware se retrouve injecté dans la zone de mémoire de toutes les applications en cours de fonctionnement », avait expliqué la firme. Dr. Web avait ajouté que « la fonction principale de ce malware est de télécharger des composants malicieux supplémentaires. ».En juin 2019, Google avait confirmé, dans un billet de blog, que ces applications avaient pu être préinstallées sur les appareils Android avant de quitter les usines des fabricants. Parce que la porte dérobée était intégrée dans l'une des bibliothèques du système d'exploitation et située dans la section système, elle ne pouvait pas être supprimée en utilisant des méthodes standard, selon Dr. Web. Toutefois, Google a dit dans son article de blog publié le 6 juin quil a depuis travaillé avec les fabricants pour s'assurer que l'application malveillante a été supprimée de l'image du firmware.Google s'efforce d'aider les fabricants de dispositifs à dépister de telles vulnérabilités. Entre mars 2018 et mars 2019, Mme Stone affirme que ce dépistage a contribué à réduire le nombre de dispositifs infectés par le chamois de 7,4 millions à « seulement » 700 000, selon le rapport de Forbes. « L'écosystème Android est vaste, avec une grande diversité d'équipementiers et de personnalisations  si vous êtes capable d'infiltrer la chaîne d'approvisionnement, vous avez déjà autant d'utilisateurs infectés que d'appareils vendus  c'est pourquoi c'est une perspective plus effrayante », a-t-elle a averti.Les portes dérobées continues à être insérées dans les appareils Android alors quen 2018 Google a mis en place de nouvelles procédures qui font obligation aux fabricants de soumettre des nouvelles images ou des mises à jour dimages à une suite de tests de construction. Dans le rapport Android Security & Privacy 2018 Year In Review de Google on pouvait lire:« L'un de ces tests de sécurité analyse les PHA (applications potentiellement nuisibles) préinstallées incluses dans l'image du système ». « Si nous trouvons une PHA dans la compilation, nous travaillons avec le partenaire OEM pour remédier à la situation et retirer la PHA de la compilation avant qu'elle puisse être offerte aux utilisateurs », ont ajouté les responsables de Google dans leur rapport.Ce qui est très préoccupant est que les propriétaires des téléphones ne peuvent pas faire grand-chose contre ce genre dapplications préinstallées. Ils ne peuvent que se fier aux fabricants et à Google.Source : Forbes Quen pensez-vous ?Selon vous, qui est responsable de la persistance des malwares dans Android ?Google parviendra-t-il a éradiqué les portes dérobées du système Android ?