Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

Le colonel Moutarde avec le ransomware

Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

Le 14 mars 2017 à 15h30

36 smartphones Android, pour la plupart haut de gamme, sont touchés par un problème de malware. Ils ne les possédaient a priori pas en sortant de l’usine, mais sont passés entre les mains de deux entreprises non nommées. Elles auraient alors injecté ces menaces, dont le célèbre Loki.

Le problème a été détecté par la société de sécurité Check Point, au cours d’une vérification portant sur un lot de smartphones appartenant à deux grandes sociétés (dont une de télécoms). Il est ressorti que 36 exemplaires étaient infectés. Or, les malwares n’avaient pas été installés par l’utilisateur : ils étaient présents dès leur livraison.

De nombreux modèles de smartphones concernés

Le problème touche surtout des modèles haut de gamme de constructeurs comme ASUS, Lenovo, LG, Oppo, Samsung ou encore Xiaomi. Parmi tous ces smartphones, les chercheurs ont trouvé plusieurs familles de malwares, dont Loki et SLocker. Le premier est un cheval de Troie bien connu, l’autre un ransomware qui verrouille le smartphone en exigeant un paiement afin de récupérer les données personnelles (chiffrées via AES). Il utilise également Tor pour communiquer avec ceux qui l’utilisent. D’autres malwares avaient pour mission d’installer un réseau pirate de publicités.

Parmi les modèles concernés, on trouve les Galaxy S7, Note 2/3/4/5/8/Edge, Tab 2 et S2 de Samsung, le G4 de LG, le Zenfone 2 d’ASUS, le S90 et l’A850 de Lenovo, le Redmi et le Mi 4i de Xiaomi, les N3 et R7 Plus d’Oppo ou encore le X6 Plus de Vivo. Notons qu’initialement, les Nexus 5 et 5X étaient présents dans la liste, mais que la société les a enlevés, sans vraiment en préciser la raison.

Les ROM ont été modifiées après leur sortie d'usine

Ces constructeurs se seraient-ils amusés à distribuer sciemment de telles menaces ? Non, et c’est d’ailleurs le point intéressant de la découverte. À la manière du problème ayant affecté 1 250 modèles de webcams Wi-Fi, les smartphones étaient initialement intacts. Check Point indique en effet que les ROM étaient bien vierges de toute menace quand les produits sortaient de l’usine. Mais les appareils sont passées entre des mains inconnues avant d’être livrés.

Les malwares détectés sont particulièrement pénibles à éradiquer. Loki est apparu il y a environ un an et a fait depuis de nombreuses victimes. Il parvient à s’infiltrer assez profondément dans Android pour y récupérer des droits root. De là, il peut intercepter de très nombreuses informations (contacts, messages, historique des appels, géolocalisation…).

Des malwares difficiles à déloger

Selon Check Point, se débarrasser des deux malwares n’est pas simple, car beaucoup ont été ajoutés avec des droits système. Il faudrait pouvoir récupérer une ROM intacte depuis le constructeur et flasher l’appareil, en effaçant certes toute trace des menaces, mais également de toutes les autres données.

Pour Check Point, le danger n’est pas dans Android ou même chez les constructeurs, il est dans la confiance parfois toute relative que peut mettre un éventuel client dans son fournisseur. Les smartphones ont été modifiés entre l’usine et le point de vente, et on ne sait pas pour l’instant qui a effectué cette opération.

La question de l'auteur

La société de sécurité indique que rien ne permet encore d’affirmer que les fournisseurs sont responsables. Il pourrait s’agir d’une volonté de leur part de distribuer ces malwares, et dont autant de portes dérobées, mais Check Point estime qu’une attaque « opportuniste » pourrait avoir eu lieu quelque part entre eux et les constructeurs. La société penche d’ailleurs pour la deuxième solution, car ni Loki, ni SLocker ne sont difficiles à détecter.

Sans avertissement particulier de Check Point, il semble que la menace soit relativement circonscrite. Cependant, le conseil sera d’éviter des revendeurs proposant des tarifs qui semblent « trop beaux pour être vrais », ou que l’on ne connait pas.

Notez enfin que ce type de problème n'est pas nouveau. En novembre dernier, 55 modèles de terminaux Android étaient concernés par une menace de ce type, particulièrement le constructeur BLU. De nombreux patchs avaient été distribués au cours des semaines suivantes.

Commentaires (60)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

:O



Mais à part ça tout va bien…

votre avatar

Sony n’a pas l’air touché par ce fait mais je ne me réjouis pas pour autant…



Bref, la vie continue…

votre avatar

Quand il n’y a même plus besoin ni de vulnérabilité, ni de faille, on touche un peu au but ultime de certaines organisations.

votre avatar

Y a des outils pour savoir si l’on est affectée par une quelconque menace ? Pas besoin d’un outil qui nettoie, mais juste prévenir ça serait pas mal déjà.

votre avatar

+1, j’ai un G4 et j’attendais l’article pour en plus savoir comment les repérer et déterminer si mon tel est sain :(

votre avatar

Bon, j’imagine que mon Asus est sensible à ce cas. Merci Asus de promettre des mises à jour vers Android 6 mais sans la mettre disponible autrement qu’en l’installant manuellement :<

votre avatar

Il peut aussi y avoir des compromissions dans l’usine elle même, ce qui simplifierai d’ailleurs beaucoup la chose pour les attaquant : injecter directement une ROM compromise plutôt que de sortir le téléphone de sa boite, le cracker avec une faille 0-day, écrire la ROM et réinsérer le téléphone sans trace d’ouverture….

votre avatar

D’apres une news sur un site concurrent : malwarebyte, ou l’outil proposé par checkpoint, sauf que ce dernier ne m’inspirait pas pour la raison de “juge et partie”, et les commentaires dans le playstore me donnent d’autres raisons de ne pas l’installer.

votre avatar

Vu les informations à récupérer, il faudrait un scanning des fichiers sytèmes en root pour la détection. Et à mon sens, il faudrait vraiment une très grande confiance dans l’outil pour autoriser une telle chose sur son téléphone.

votre avatar

(Malwares) …..ils étaient présents dès leur livraison.                                                                                                         

     mais, où va-t-on ?




  • en QUI avoir confiance …maintenant ? <img data-src=" />

votre avatar

Le principal malware détecté c’est android ?

votre avatar







vizir67 a écrit :





  • en QUI avoir confiance …maintenant ? <img data-src=" />





    En apple, et surtout microsoft


votre avatar







ToMMyBoaY a écrit :



Quand il n’y a même plus besoin ni de vulnérabilité, ni de faille, on touche un peu au but ultime de certaines organisations.





+1….


votre avatar

Pas vraiment puisque les malware ne proviennent pas du constructeur, il faut avoir confiance en toute la chaîne d’approvisionnement<img data-src=" />

votre avatar

Des inconnus qui ont modifié les roms avant leur livraison, ça veut dire que des tels livrés par orange/sfr/bouygues peuvent être vérolé aussi ou comme dit dans l’article, ça vient de vendeurs autres genre petites boutiques ?

votre avatar







Drepanocytose a écrit :



En apple, et surtout microsoft







Bof ils sont tous capable de nous espionner au final… Carrier IQ en est la preuve.

Et puis ici on parle _ a priori _ d’actes de malveillances, et vu les conditions de fabrications d’iDevices, celà peut aussi arriver à Apple.



Pour Microsoft ils ont la parade ultime : vu la demande, les téléphones sont assemblés à la main directement par Billou <img data-src=" />


votre avatar

Perso je viens de mettre Nougat sur mon Zenfone 2 <img data-src=" /> via la rom Resurection Remix.

Ca marche plutôt pas mal pour l’instant.

votre avatar







CryoGen a écrit :



Bof ils sont tous capable de nous espionner au final… Carrier IQ en est la preuve.

Et puis ici on parle _ a priori _ d’actes de malveillances, et vu les conditions de fabrications d’iDevices, celà peut aussi arriver à Apple.



Pour Microsoft ils ont la parade ultime : vu la demande, les téléphones sont assemblés à la main directement par Billou <img data-src=" />





ce qui laisse a billou pas mal de temps libre en plus, c’est plus un mi-temps, voir un tier-temps


votre avatar

Pas sur iPhone du coup ?

votre avatar







Drepanocytose a écrit :



En apple, et surtout microsoft





Quand tu vois l’état de leur boutique ça fait pas envie <img data-src=" />



On y trouve :

HP Elite X3 … sympa mais horriblement cher

Acer Liquid Jade Primo … il ne reçoit plus les mises à jour parce que Acer à laissé tomber

Lumia 950 XL : “dernière pièces disponibles”, le fameux Snapdragon 810 qui chauffe trop

Lumia 650 : “rupture de stock”

Lumia 640 : “rupture de stock”

Lumia 640 XL : sorti en avril 2015, avec un SoC milieu de gamme qui date de fin 2013

Lumia 550 : “dernières pièces disponibles” , un téléphone de fin 2015, avec un SoC bas de gamme de fin 2014


votre avatar







CryoGen a écrit :



Bof ils sont tous capable de nous espionner au final… Carrier IQ en est la preuve.

Et puis ici on parle _ a priori _ d’actes de malveillances, et vu les conditions de fabrications d’iDevices, celà peut aussi arriver à Apple.





faut voir qui installe iOS sur les terminaux… c’est fait chez Foxconn aussi?


votre avatar

Vu que les téléphones sont livrés dans un emballage scellé, l’installation des malwares a lieu avant la mise en boîte, ou sait-on si ils sont ré-emballés ?

<img data-src=" />

votre avatar







hellmut a écrit :



faut voir qui installe iOS sur les terminaux… c’est fait chez Foxconn aussi?





Apple force la vérification de signature d’iOS sur ses terminaux. Seul un jailbreak permet de faire sauter ce verrou. C’est certes techniquement possible mais beaucoup plus contraignant qu’avec Android puisqu’il n’existe quasiment aucun jailbreak fiable depuis 9.3.4 (Yalu est une beta pas franchement stable pour IOS10).


votre avatar

Un jour, tout le monde achètera des blackberry&nbsp;<img data-src=" />

votre avatar

Tout va bien chez Samsung …



Après les batteries explosives, les laves lignes fous, le scandale financier, les valses de composants, voilà maintenant le malware livré d’origine …



&nbsp;Bon, troll à part, il y a de quoi se poser de sérieuses questions sur la sécurité de l’informatique (tous secteurs confondus) dans les mois / années à venir … :/

votre avatar

Tssss c’est un coup de Darty et de la fnac ça ;-)

Après l’idéal est de flasher une rom “garantie” saine : un téléphone pas à jour aura le droit à son nouveau firmware au déballage, ou sinon un Lineage OS ou autre…

Mais bon je ne vois pas l’utilisateur lambda faire ça…

votre avatar

“Notons qu’initialement, les Nexus 5 et 5X étaient présents dans la liste, mais que la société les a enlevés, sans vraiment en préciser la raison”

Ils ont recu un appel de google <img data-src=" />

votre avatar

Enfin , ils ont trouvé 36-38 tel infectés , mais ils ne parlent pas de nombre de tel inspectés , facile de faire peur après

votre avatar

Dans ce genre de cas, la boite n’est plus scellé, je pense que l’article fait référence aux revendeurs chinois, comme gearbest, par exemple, qui sous couvert de vérifier le bon fonctionnement des appareils envoyés se permet de desceller les boites.



Dans les faits, il ne s’agit pas tant de vérifier le bon fonctionnement que d’installer quelconques logiciels malveillant. Cependant, en général c’est plutôt de la pub qu’ils installent du type, ça change la page d’accueil de ton internet browser ou ça t’ouvres des pages web aléatoirement pour t’afficher de la pub.



Si l’on cherche un peu d’information autours de ces sites, on se rend compte que la plupart des clients conseillent fortement d’installer la ROM du constructeur dès la réception du téléphone afin de s’assurer de wipe toutes modifications non désirées de l’appareil.



Le problème, c’est que certaines sociétés chinoise, comme Xiaomi citée dans l’article, refuse d’exporter leurs téléphones et si on en veut un, on est obligé de passer par ces sites peu scrupuleux, tout en payant le double du prix d’origine…

votre avatar

Bon, j’ai un Zenfone 2 d’ASUS, comment je fais pour savoir si mon tel est infecté ?

votre avatar







Fusio a écrit :



Vu que les téléphones sont livrés dans un emballage scellé, l’installation des malwares a lieu avant la mise en boîte, ou sait-on si ils sont ré-emballés ?

<img data-src=" />





+1 Comment ils font ?



Pour éradiquer ce genre de virus, deux solutions : restaurer les paramètres d’usine de l’appareil, ou installer une solution de sécurité complète sur le mobile. Rappelons que ce genre de solution est souvent gratuite, ou intégrée dans l’abonnement à une suite de sécurité pour Windows. &gt;&gt; Antivirus : quelle est la meilleure suite de sécurité ?&nbsp;

www.tomsguide.fr


votre avatar







Arkeen a écrit :



Bon, j’ai un Zenfone 2 d’ASUS, comment je fais pour savoir si mon tel est infecté ?





Le logiciel de l’éditeur source de cet article a vraiment de mauvais commentaires <img data-src=" />

Tente MalwareByte peut-être.


votre avatar

j’ai un Nexus 5x depuis 18mois et j’ai jamais rien vu de bizarre. J’ai eut un note 3 avant cela et pareil aucun malware à signaler.



par contre j’ai une tablette chinoise à base de intel atom et là il y avait bien 3 malware gratuit fournis avec l’OS.



c’est une news à prendre avec des pincettes surtout le ‘ mais sont passés entre les mains de deux entreprises non nommées. Elles auraient alors injecté ces menaces, dont le célèbre Loki ’



le seul loki que je connaisse sur android, c’est un outil pour déverrouiller le bootloader de certains phones ( et ca marche pas sur tous, à moins de vouloir une brique )



Sur XDA il y aucune trace de discussion sur ce malware très connu qui s’appellerait Loki. info ou intox ?

votre avatar



le Redmi et le Mi 4i de Xiaomi





Lequel de Redmi ? Toute la gamme ?



J’ai reçu mon 3S hier, je sens que j’ai encore fait le bon choix <img data-src=" />



&nbsp;

votre avatar

J’ai du pas mal chercher aussi.



Android.loki est très récent (décembre 2016) mais il a plusieurs noms. 








 Alias   


 ESET: a variant of Android/HiddenApp.AU trojan   


 Kaspersky Lab: HEUR:Trojan.AndroidOS.Hiddad.ao   


 G Data: Android.Trojan.HiddenAds.FU   


 Dr. Web: Android.Loki.10.origin
votre avatar







Jarodd a écrit :



Lequel de Redmi ? Toute la gamme ?



J’ai reçu mon 3S hier, je sens que j’ai encore fait le bon choix <img data-src=" />



&nbsp;



&nbsp;

Pas trop grave pour Xiaomi les roms sont accessible et sont&nbsp; facile à réinstaller faut juste être au courant.

Le top ça reste de passer&nbsp; passer sur une rom alternative de confiance mais ça reste plus compliqué (déjà concernant Xiaomi il faut passer l’étape du service d’unlock à la ramasse).


votre avatar

Pour preuve qu’Android est fait pour être une passoire à destination de celui qui veut (et en premier lieu des US gouvernementaux).

je n’ai pas dit que c’est un mauvais système.

je dis que c’est un système prévu pour purger jusqu’à la dernière lie de la vie privée des gens.

d’où la mort des Nokia et autres blackberry inefficaces à comprendre ce genre de concept.

de plus en plus je me replie des plateformes facebooks et autre periscope,mais devrais je revenir au 3310 d’origine? (pas le nouveau).

&nbsp;

votre avatar

OnePlus la base.

votre avatar

” Mais les appareils sont passées entre des mains inconnues avant d’être livrés.”



La main invisible du destin, certainement. Un peu comme les detournements de cisco à la douane par la NSA pour les ourvrir et leur coller des chips de backdoor.

votre avatar







Arkeen a écrit :



Bon, j’ai un Zenfone 2 d’ASUS, comment je fais pour savoir si mon tel est infecté ?





J’ai failli en acheter un samedi à 130€… <img data-src=" />


votre avatar

Puis y’a l’appli “Sécurité” (bien pratique par ailleurs), donc on est tranquille.









<img data-src=" />

votre avatar

Il est tres facile de repackager une boite.





Fusio a écrit :



Vu que les téléphones sont livrés dans un emballage scellé, l’installation des malwares a lieu avant la mise en boîte, ou sait-on si ils sont ré-emballés ?

<img data-src=" />





Il est tres facile de repackager une boite, bien plus de d’injecter des roms vérolées au beau milieu de l’usine… .


votre avatar

Ca dépend, tu paies combien ?

votre avatar

Sérieusement, le prix est ta référence pour détecter les tél infectés ?

J’ai connu NXI plus averti.









Vincent a écrit :



Sans avertissement particulier de Check Point, il semble que la menace soit relativement circonscrite. Cependant, le conseil sera d’éviter des revendeurs proposant des tarifs qui semblent « trop beaux pour être vrais », ou que l’on ne connait pas.







Il y a plus technique comme conseil <img data-src=" />

Quand un pigeon est prêt à être tondu, le prix bas ne sert à rien.


votre avatar







wagaf a écrit :



Il peut aussi y avoir des compromissions dans l’usine elle même, ce qui simplifierai d’ailleurs beaucoup la chose pour les attaquant : injecter directement une ROM compromise plutôt que de sortir le téléphone de sa boite, le cracker avec une faille 0-day, écrire la ROM et réinsérer le téléphone sans trace d’ouverture….









ToMMyBoaY a écrit :



Vu les informations à récupérer, il faudrait un scanning des fichiers sytèmes en root pour la détection. Et à mon sens, il faudrait vraiment une très grande confiance dans l’outil pour autoriser une telle chose sur son téléphone.



si vous avez un si grand doute, vous n’avez qu’à récupérer une ROM constructeur vierge et l’insérer à la place de votre originale douteux.


votre avatar

Perso, à la recherche d’un smartphone d’appoint double SIM, j’étais tenté par un Android Motorola ( qui semble avoir le moins de surcouche), mais je me pose de plus en plus de question sur cet OS très fortement décrié.

Je crains que ce soit très mauvais pour les consommateurs au final qui ont de moins en moins de choix..

votre avatar

Moi, je suis bien sur mon Windows Phone, pas de soucis&nbsp;<img data-src=" />

votre avatar

On va devoir retourner sur les téléphones basique (j’ai encore un 3310 de vielle époque qui fonctionne et un 6600 slide) et prendre un PDA pour être tranquille ? x)

Moi qui pensait changer depuis quelques jours en lisant cela… donc pour le moment je vais garder mon BBerry Z30 (Qui dit qu’au final ce n’est pas la même ?) :(

votre avatar

sinon, il y a les Jolla Phone et de maniere plus générale SailfishOS, le seul OS mobile vraiment open source et maintenu ?

votre avatar

à ce niveau là, c’est surtout un emploi fictif&nbsp;<img data-src=" />

votre avatar

Une question a l’auteur:

J’aurais bien aimé savoir comment se fournissent les sociétés de questions voire de télécoms en général.

J’imagine que ce serait un gros sujet en soit. Mais la il me manquerait une pièce d’un puzzle.

J’aimerais connaître la mécanique de la chaîne des processus allant de la fabrique, jusqu’à nos mains.

Jusqu’à maintenant je pensais que de la fabrique, les appareils, arrivaient directement dans le stock de ces sociétés via une boite de livraison, après une commande.

Il semblerait que l’acheminement serait beaucoup plus complexe, puisque il existe un organisme qui control la qualité a ce niveau la.

votre avatar







Paraplegix a écrit :



à ce niveau là, c’est surtout un emploi fictif&nbsp;<img data-src=" />





c’est claire que si un juge te demande “et c’était quoi votre emploie chez ms” et que tu réponds “assembleur de wphone” tu finis en taule directe


votre avatar







psn00ps a écrit :



Sérieusement, le prix est ta référence pour détecter les tél infectés ?



oui


votre avatar

Oui enfin là ce n’est pas un problème d’opensource ou de maintenance.



Et puis Sailfish n’a pas l’air de ce démocratiser dans nos contrées… Jolla préférant la Russie.



Et puis dans me ssouvenirs, Sailfish n’était pas complètement open source d’ailleurs.

votre avatar







psn00ps a écrit :



Sérieusement, le prix est ta référence pour détecter les tél infectés ?





bah oui : s’il est légèrement plus cher que le prix public conseillé ou qu’il est au niveau “affaire de la décennie” (par opposition à affaire du siècle), ça indique clairement que le distributeur répercute le cout de maintenance occasionné par le flashage avec une version malwarisée de la ROM et donc qu’il y a anguille sous roche <img data-src=" /> <img data-src=" />


votre avatar

+1 <img data-src=" />

votre avatar

Tu n’en sais rien en fait, vu que personne semble ne s’y intéresser, aucune boite de sécurité ne s’est penché sur ta plateforme <img data-src=" />

votre avatar

heu, pas tout à fait, ce sont les terminaux qui, lors des contest d’attaques externes s’en sortent le mieux face à IOS et Android en 0-day…



mais bien tenté&nbsp;<img data-src=" />&nbsp;<img data-src=" />

votre avatar

Ca ne veut absolument pas dire qu’il n’y a aucun malware semi-<img data-src=" />

votre avatar

Ouah ! Des appareils passés par des mains invisibles, qui auraient des malwares installés, qui seraient bien sur tous de fabrication / conception / commande non Américaine, et dont le critère pour les reconnaitre serait le prix !

En plus on apprend que bien que ces 3 grand amérloques ne soient pas dans la liste, ils en auraient même été retirés.



Next Inpact, chaque jour un peu plus le CLOSER de l’informatique !

Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

  • De nombreux modèles de smartphones concernés

  • Les ROM ont été modifiées après leur sortie d'usine

  • Des malwares difficiles à déloger

  • La question de l'auteur

Fermer