36 smartphones Android, pour la plupart haut de gamme, sont touchés par un problème de malware. Ils ne les possédaient a priori pas en sortant de l’usine, mais sont passés entre les mains de deux entreprises non nommées. Elles auraient alors injecté ces menaces, dont le célèbre Loki.
Le problème a été détecté par la société de sécurité Check Point, au cours d’une vérification portant sur un lot de smartphones appartenant à deux grandes sociétés (dont une de télécoms). Il est ressorti que 36 exemplaires étaient infectés. Or, les malwares n’avaient pas été installés par l’utilisateur : ils étaient présents dès leur livraison.
De nombreux modèles de smartphones concernés
Le problème touche surtout des modèles haut de gamme de constructeurs comme ASUS, Lenovo, LG, Oppo, Samsung ou encore Xiaomi. Parmi tous ces smartphones, les chercheurs ont trouvé plusieurs familles de malwares, dont Loki et SLocker. Le premier est un cheval de Troie bien connu, l’autre un ransomware qui verrouille le smartphone en exigeant un paiement afin de récupérer les données personnelles (chiffrées via AES). Il utilise également Tor pour communiquer avec ceux qui l’utilisent. D’autres malwares avaient pour mission d’installer un réseau pirate de publicités.
Parmi les modèles concernés, on trouve les Galaxy S7, Note 2/3/4/5/8/Edge, Tab 2 et S2 de Samsung, le G4 de LG, le Zenfone 2 d’ASUS, le S90 et l’A850 de Lenovo, le Redmi et le Mi 4i de Xiaomi, les N3 et R7 Plus d’Oppo ou encore le X6 Plus de Vivo. Notons qu’initialement, les Nexus 5 et 5X étaient présents dans la liste, mais que la société les a enlevés, sans vraiment en préciser la raison.
Les ROM ont été modifiées après leur sortie d'usine
Ces constructeurs se seraient-ils amusés à distribuer sciemment de telles menaces ? Non, et c’est d’ailleurs le point intéressant de la découverte. À la manière du problème ayant affecté 1 250 modèles de webcams Wi-Fi, les smartphones étaient initialement intacts. Check Point indique en effet que les ROM étaient bien vierges de toute menace quand les produits sortaient de l’usine. Mais les appareils sont passées entre des mains inconnues avant d’être livrés.
Les malwares détectés sont particulièrement pénibles à éradiquer. Loki est apparu il y a environ un an et a fait depuis de nombreuses victimes. Il parvient à s’infiltrer assez profondément dans Android pour y récupérer des droits root. De là, il peut intercepter de très nombreuses informations (contacts, messages, historique des appels, géolocalisation…).
Des malwares difficiles à déloger
Selon Check Point, se débarrasser des deux malwares n’est pas simple, car beaucoup ont été ajoutés avec des droits système. Il faudrait pouvoir récupérer une ROM intacte depuis le constructeur et flasher l’appareil, en effaçant certes toute trace des menaces, mais également de toutes les autres données.
Pour Check Point, le danger n’est pas dans Android ou même chez les constructeurs, il est dans la confiance parfois toute relative que peut mettre un éventuel client dans son fournisseur. Les smartphones ont été modifiés entre l’usine et le point de vente, et on ne sait pas pour l’instant qui a effectué cette opération.
La question de l'auteur
La société de sécurité indique que rien ne permet encore d’affirmer que les fournisseurs sont responsables. Il pourrait s’agir d’une volonté de leur part de distribuer ces malwares, et dont autant de portes dérobées, mais Check Point estime qu’une attaque « opportuniste » pourrait avoir eu lieu quelque part entre eux et les constructeurs. La société penche d’ailleurs pour la deuxième solution, car ni Loki, ni SLocker ne sont difficiles à détecter.
Sans avertissement particulier de Check Point, il semble que la menace soit relativement circonscrite. Cependant, le conseil sera d’éviter des revendeurs proposant des tarifs qui semblent « trop beaux pour être vrais », ou que l’on ne connait pas.
Notez enfin que ce type de problème n'est pas nouveau. En novembre dernier, 55 modèles de terminaux Android étaient concernés par une menace de ce type, particulièrement le constructeur BLU. De nombreux patchs avaient été distribués au cours des semaines suivantes.
Commentaires (60)
:O
Mais à part ça tout va bien…
Sony n’a pas l’air touché par ce fait mais je ne me réjouis pas pour autant…
Bref, la vie continue…
Quand il n’y a même plus besoin ni de vulnérabilité, ni de faille, on touche un peu au but ultime de certaines organisations.
Y a des outils pour savoir si l’on est affectée par une quelconque menace ? Pas besoin d’un outil qui nettoie, mais juste prévenir ça serait pas mal déjà.
+1, j’ai un G4 et j’attendais l’article pour en plus savoir comment les repérer et déterminer si mon tel est sain :(
Bon, j’imagine que mon Asus est sensible à ce cas. Merci Asus de promettre des mises à jour vers Android 6 mais sans la mettre disponible autrement qu’en l’installant manuellement :<
Il peut aussi y avoir des compromissions dans l’usine elle même, ce qui simplifierai d’ailleurs beaucoup la chose pour les attaquant : injecter directement une ROM compromise plutôt que de sortir le téléphone de sa boite, le cracker avec une faille 0-day, écrire la ROM et réinsérer le téléphone sans trace d’ouverture….
D’apres une news sur un site concurrent : malwarebyte, ou l’outil proposé par checkpoint, sauf que ce dernier ne m’inspirait pas pour la raison de “juge et partie”, et les commentaires dans le playstore me donnent d’autres raisons de ne pas l’installer.
Vu les informations à récupérer, il faudrait un scanning des fichiers sytèmes en root pour la détection. Et à mon sens, il faudrait vraiment une très grande confiance dans l’outil pour autoriser une telle chose sur son téléphone.
(Malwares) …..ils étaient présents dès leur livraison.
mais, où va-t-on ?
Le principal malware détecté c’est android ?
Pas vraiment puisque les malware ne proviennent pas du constructeur, il faut avoir confiance en toute la chaîne d’approvisionnement
" />
Des inconnus qui ont modifié les roms avant leur livraison, ça veut dire que des tels livrés par orange/sfr/bouygues peuvent être vérolé aussi ou comme dit dans l’article, ça vient de vendeurs autres genre petites boutiques ?
Perso je viens de mettre Nougat sur mon Zenfone 2
" /> via la rom Resurection Remix.
Ca marche plutôt pas mal pour l’instant.
Pas sur iPhone du coup ?
Vu que les téléphones sont livrés dans un emballage scellé, l’installation des malwares a lieu avant la mise en boîte, ou sait-on si ils sont ré-emballés ?
" />
Un jour, tout le monde achètera des blackberry 
" />
Tout va bien chez Samsung …
Après les batteries explosives, les laves lignes fous, le scandale financier, les valses de composants, voilà maintenant le malware livré d’origine …
Bon, troll à part, il y a de quoi se poser de sérieuses questions sur la sécurité de l’informatique (tous secteurs confondus) dans les mois / années à venir … :/
Tssss c’est un coup de Darty et de la fnac ça ;-)
Après l’idéal est de flasher une rom “garantie” saine : un téléphone pas à jour aura le droit à son nouveau firmware au déballage, ou sinon un Lineage OS ou autre…
Mais bon je ne vois pas l’utilisateur lambda faire ça…
“Notons qu’initialement, les Nexus 5 et 5X étaient présents dans la liste, mais que la société les a enlevés, sans vraiment en préciser la raison”
" />
Ils ont recu un appel de google
Enfin , ils ont trouvé 36-38 tel infectés , mais ils ne parlent pas de nombre de tel inspectés , facile de faire peur après
Dans ce genre de cas, la boite n’est plus scellé, je pense que l’article fait référence aux revendeurs chinois, comme gearbest, par exemple, qui sous couvert de vérifier le bon fonctionnement des appareils envoyés se permet de desceller les boites.
Dans les faits, il ne s’agit pas tant de vérifier le bon fonctionnement que d’installer quelconques logiciels malveillant. Cependant, en général c’est plutôt de la pub qu’ils installent du type, ça change la page d’accueil de ton internet browser ou ça t’ouvres des pages web aléatoirement pour t’afficher de la pub.
Si l’on cherche un peu d’information autours de ces sites, on se rend compte que la plupart des clients conseillent fortement d’installer la ROM du constructeur dès la réception du téléphone afin de s’assurer de wipe toutes modifications non désirées de l’appareil.
Le problème, c’est que certaines sociétés chinoise, comme Xiaomi citée dans l’article, refuse d’exporter leurs téléphones et si on en veut un, on est obligé de passer par ces sites peu scrupuleux, tout en payant le double du prix d’origine…
Bon, j’ai un Zenfone 2 d’ASUS, comment je fais pour savoir si mon tel est infecté ?
j’ai un Nexus 5x depuis 18mois et j’ai jamais rien vu de bizarre. J’ai eut un note 3 avant cela et pareil aucun malware à signaler.
par contre j’ai une tablette chinoise à base de intel atom et là il y avait bien 3 malware gratuit fournis avec l’OS.
c’est une news à prendre avec des pincettes surtout le ‘ mais sont passés entre les mains de deux entreprises non nommées. Elles auraient alors injecté ces menaces, dont le célèbre Loki ’
le seul loki que je connaisse sur android, c’est un outil pour déverrouiller le bootloader de certains phones ( et ca marche pas sur tous, à moins de vouloir une brique )
Sur XDA il y aucune trace de discussion sur ce malware très connu qui s’appellerait Loki. info ou intox ?
le Redmi et le Mi 4i de Xiaomi
Lequel de Redmi ? Toute la gamme ?
J’ai reçu mon 3S hier, je sens que j’ai encore fait le bon choix
J’ai du pas mal chercher aussi.
Android.loki est très récent (décembre 2016) mais il a plusieurs noms.
Pour preuve qu’Android est fait pour être une passoire à destination de celui qui veut (et en premier lieu des US gouvernementaux).
je n’ai pas dit que c’est un mauvais système.
je dis que c’est un système prévu pour purger jusqu’à la dernière lie de la vie privée des gens.
d’où la mort des Nokia et autres blackberry inefficaces à comprendre ce genre de concept.
de plus en plus je me replie des plateformes facebooks et autre periscope,mais devrais je revenir au 3310 d’origine? (pas le nouveau).
OnePlus la base.
” Mais les appareils sont passées entre des mains inconnues avant d’être livrés.”
La main invisible du destin, certainement. Un peu comme les detournements de cisco à la douane par la NSA pour les ourvrir et leur coller des chips de backdoor.
Puis y’a l’appli “Sécurité” (bien pratique par ailleurs), donc on est tranquille.
" />
Il est tres facile de repackager une boite.
Ca dépend, tu paies combien ?
Sérieusement, le prix est ta référence pour détecter les tél infectés ?
J’ai connu NXI plus averti.
Perso, à la recherche d’un smartphone d’appoint double SIM, j’étais tenté par un Android Motorola ( qui semble avoir le moins de surcouche), mais je me pose de plus en plus de question sur cet OS très fortement décrié.
Je crains que ce soit très mauvais pour les consommateurs au final qui ont de moins en moins de choix..
Moi, je suis bien sur mon Windows Phone, pas de soucis 
" />
On va devoir retourner sur les téléphones basique (j’ai encore un 3310 de vielle époque qui fonctionne et un 6600 slide) et prendre un PDA pour être tranquille ? x)
Moi qui pensait changer depuis quelques jours en lisant cela… donc pour le moment je vais garder mon BBerry Z30 (Qui dit qu’au final ce n’est pas la même ?) :(
sinon, il y a les Jolla Phone et de maniere plus générale SailfishOS, le seul OS mobile vraiment open source et maintenu ?
à ce niveau là, c’est surtout un emploi fictif 
" />
Une question a l’auteur:
J’aurais bien aimé savoir comment se fournissent les sociétés de questions voire de télécoms en général.
J’imagine que ce serait un gros sujet en soit. Mais la il me manquerait une pièce d’un puzzle.
J’aimerais connaître la mécanique de la chaîne des processus allant de la fabrique, jusqu’à nos mains.
Jusqu’à maintenant je pensais que de la fabrique, les appareils, arrivaient directement dans le stock de ces sociétés via une boite de livraison, après une commande.
Il semblerait que l’acheminement serait beaucoup plus complexe, puisque il existe un organisme qui control la qualité a ce niveau la.
Oui enfin là ce n’est pas un problème d’opensource ou de maintenance.
Et puis Sailfish n’a pas l’air de ce démocratiser dans nos contrées… Jolla préférant la Russie.
Et puis dans me ssouvenirs, Sailfish n’était pas complètement open source d’ailleurs.
+1
" />
Tu n’en sais rien en fait, vu que personne semble ne s’y intéresser, aucune boite de sécurité ne s’est penché sur ta plateforme
" />
heu, pas tout à fait, ce sont les terminaux qui, lors des contest d’attaques externes s’en sortent le mieux face à IOS et Android en 0-day…
" /> 
" />
mais bien tenté
Ca ne veut absolument pas dire qu’il n’y a aucun malware semi-
" />
Ouah ! Des appareils passés par des mains invisibles, qui auraient des malwares installés, qui seraient bien sur tous de fabrication / conception / commande non Américaine, et dont le critère pour les reconnaitre serait le prix !
En plus on apprend que bien que ces 3 grand amérloques ne soient pas dans la liste, ils en auraient même été retirés.
Next Inpact, chaque jour un peu plus le CLOSER de l’informatique !