Google confirme que certains appareils Android étaient préinstallés avec un backdoor

Les backdoors Triada étaient préinstallés sur quelques appareils Android, révèle Google

Google a récemment confirmé que certains smartphones Android avaient été infectés à leur insu par des logiciels malveillants par des fabricants de smartphones même avant d’être expédiés aux clients.

Dans un article de blog détaillé, Google a expliqué comment certains hackers ont réussi à installer Triada, un logiciel malveillant conçu pour installer des applications de spam sur un appareil qui affiche des publicités, sur des appareils Android en manipulant le logiciel préinstallé. Les créateurs de Triada ont collecté des revenus grâce aux publicités affichées par les applications de spam.

« Triada infecte les images système des appareils par l’intermédiaire d’un tiers pendant le processus de production. Parfois, les OEM souhaitent inclure des fonctionnalités qui ne font pas partie du projet Android Open Source, comme le déverrouillage par reconnaissance faciale.

L’OEM peut s’associer à un tiers capable de développer la fonctionnalité souhaitée et envoyer l’image système complète à ce fournisseur pour développement… D’après notre analyse, nous pensons qu’un fournisseur utilisant le nom Yehuo ou Blazefire a infecté l’image système retournée avec Triada », a écrit Lukasz Siewierski, de l’équipe sécurité et confidentialité Android, dans un article de blog.

La « famille Triada » de chevaux de Troie a été découverte pour la première fois par des chercheurs en sécurité de Kaspersky Labs, qui l’ont décrite dans un article de blog sur leur site en mars 2016, puis dans un article de suivi en juin 2016.

À l’époque, il était noté comme un cheval de Troie de rooting conçu pour exploiter le matériel après avoir obtenu des privilèges élevés. Une fois informé du fonctionnement de Triada en 2016, Google avait mis en œuvre une détection via son Play Protect pour supprimer les échantillons de Triada de tous les appareils.

Cependant, les acteurs malveillants derrière le logiciel malveillant ont adopté une autre approche peu commune et ont publié une version plus intelligente du cheval de Troie à l’été 2017, qui a été découverte par le fournisseur antimalware Dr. Web en juillet 2017.

« Pendant l’été 2017, nous avons remarqué un changement dans les nouveaux échantillons de Triada. Au lieu de rooter l’appareil pour obtenir des privilèges élevés, Triada a évolué pour devenir un backdoor préinstallé dans le framework Android.

Les changements apportés à Triada comprenaient un appel supplémentaire dans la fonction de journalisation du framework Android, démontré ci-dessous avec une chaîne de configuration mise en évidence », a ajouté Siewierski.

« En backdoorant la fonction de journalisation, le code supplémentaire s’exécute chaque fois que la méthode de journalisation est appelée (c’est-à-dire chaque fois qu’une application sur le téléphone essaie de journaliser quelque chose). Ces tentatives de journalisation se produisent plusieurs fois par seconde, donc le code supplémentaire s’exécute sans interruption. Le code supplémentaire s’exécute également dans le contexte de l’application qui journalise un message, donc Triada peut exécuter du code dans n’importe quel contexte d’application.

Le cadre d’injection de code dans les premières versions de Triada fonctionnait sur les versions Android antérieures à Marshmallow. »

Cependant, le facteur le plus préoccupant est qu’il ne pouvait pas être supprimé par des méthodes standard. « La seule méthode sûre et sécurisée pour se débarrasser de ce Trojan est d’installer un firmware Android propre », a écrit Dr. Web dans son article de blog.

Selon le rapport de Dr. Web, plusieurs appareils Android ont été détectés avec la version modifiée de Triada, y compris des appareils tels que Leagoo M5 Plus, Leagoo M8, Nomu S10 et Nomu S20. Bien que Google n’ait pas révélé les appareils mobiles infectés par le logiciel malveillant, il a confirmé le rapport de Dr. Web dans son article de blog.

Google a depuis coordonné avec les OEM affectés (fabricants d’équipements d’origine) pour fournir des mises à jour système et a supprimé les traces de la variante Triada et fermé le backdoor via des mises à jour OTA (over-the-air).

Google propose également aux OEM un système automatisé appelé « Build Test Suite », qui scanne les images système à la recherche de logiciels malveillants comme Triada et des menaces similaires sur tous les appareils Android. De plus, le géant de la recherche a demandé aux OEM d’effectuer un examen de sécurité des appareils de leur réseau pour tout code tiers et de surveiller toute activité suspecte. En outre, Google évaluera régulièrement les appareils déjà sur le marché pour détecter des attaques de la chaîne d’approvisionnement.