Une nouvelle tude rapporte que des milliers d’appareils Android (appareils mobiles, tlviseurs connects, etc.) bon march sans marque sont prchargs avec un logiciel malveillant appel Triada. L’tude utilise le terme « BADBOX » pour dsigner cette opration d’infection et de distribution d’appareils Android et les appareils infects taient vendus pour moins de 50 dollars. Les chercheurs ont trouv plus de 200 modles avec des logiciels malveillants prinstalls et, lorsqu’ils ont achet sept appareils en particulier, ils ont constat que 80 % des units taient infectes par Triada. Une autre opration appele PEACHPIT implique des applications mobiles malveillantes.
Dcouverte d’un rseau d’appareils lectroniques Android compris l’chelle mondiale
L’tude, intitule « Trojans All the Way Down: BADBOX and PEACHPIT », a t publie par la socit amricaine de cyberscurit Human Security. Elle s’est concentre sur deux oprations cls : la premire est le rseau BADBOX qui est compos d’appareils Android bon march disponibles l’achat en ligne populaires et dans des magasins physiques. Ces appareils sont infects par des logiciels malveillants avant mme d’arriver dans les mains de l’acheteur peu mfiant. Mais le rseau ne s’arrte pas aux botiers TV Android ; il s’tendrait aux applications de mauvaise qualit installes volontairement par les utilisateurs sur leurs tlphones Android et leurs iPhone.
La seconde opration tudie par les chercheurs d’Human Security est baptise « PEACHPIT. Il s’agit d’un rseau qui se concentre sur les applications de mauvaise qualit, installes volontairement par les utilisateurs sur leurs tlphones Android et leurs iPhone. Ces applications sont accompagnes d’une mauvaise surprise sous la forme d’un code malveillant qui ouvre une porte drobe que les cybercriminels peuvent exploiter. C’est un rappel brutal que tout ce qui brille dans le magasin d’applications n’est pas forcment de l’or. Les chercheurs ont signal l’opration PEACHPIT Apple et Google, indiquant qu’elle implique au moins 39 applications Android et iOS.
Google a dclar avoir supprim les applications la suite des recherches d’Human Security, tandis qu’Apple a dclar avoir trouv des problmes dans plusieurs des applications qui lui ont t signales. Selon les chercheurs d’Human Security, ce rseau d’appareils compromis a servi de plateforme divers stratagmes malveillants, notamment la fraude publicitaire, les services proxy, l’excution de codes distance et mme l’enregistrement illicite de comptes Gmail et WhatsApp. Ces appareils se trouvent dans des foyers, des entreprises et des coles travers l’Europe, les tats-Unis, etc. L’on ignore l’ampleur relle des dgts lis ces deux oprations.
Les chercheurs ont dcouvert que les botiers TV infects utilisent le systme d’exploitation « Android Open Source Project » (AOSP) au lieu du projet Android TV qui est certifi par Google. Le projet AOSP est disponible en open source et en accs libre. Les appareils sans marque infects par la porte drobe BADBOX n’taient pas des appareils Android certifis Play Protect. Si un appareil n’est pas certifi Play Protect, Google ne dispose pas d’un registre des rsultats des tests de scurit et de compatibilit , explique Ed Fernandez, porte-parole de Google. Fernandez a expliqu que l’entreprise dispose d’une liste de partenaires certifis pour Android TV.
Au total, les chercheurs ont confirm l’existence de huit appareils dots de portes drobes : sept botiers TV Android (T95, T95Z, T95MAX, X88, Q9, X12PLUS et MXQ Pro 5G) et une tablette J5-W. (Certains de ses appareils ont galement t identifis par d’autres chercheurs en scurit qui se sont penchs sur le problme au cours des derniers mois). Le rapport d’Human Security, dont l’auteur principal est Marion Habiby, scientifique des donnes, indique que l’entreprise a repr au moins 74 000 appareils Android prsentant des signes d’infection par BADBOX dans le monde entier. Selon les chercheurs, les tlviseurs en cause sont fabriqus en Chine.
Cependant, quelque part avant qu’ils n’arrivent entre les mains des revendeurs – les chercheurs ne savent pas exactement o – une porte drobe de micrologiciel leur est ajoute. Cette porte drobe modifie un lment du systme d’exploitation Android, ce qui lui permet d’accder aux applications installes sur les appareils. l’insu de l’utilisateur, lorsque vous branchez cet appareil, il se connecte un centre de commande et de contrle (C2) en Chine, tlcharge un jeu d’instructions et commence faire tout un tas de mauvaises choses , explique Gavin Reid, le RSSI d’Human Security qui dirige l’quipe Satori Threat Intelligence and Research de l’entreprise.
Selon le rapport, les acteurs de la menace vendaient l’accs aux rseaux rsidentiels des fins commerciales, affirmant avoir accs plus de 10 millions d’adresses IP domestiques et plus de 7 millions d’adresses IP mobiles. Cela reprsentait une menace importante pour la vie prive et la scurit d’Internet l’chelle mondiale. son apoge, le rseau d’applications malveillantes PEACHPIT fonctionnait sur un botnet couvrant 121 000 appareils par jour sur Android. En ce qui concerne iOS, les applications malveillantes utilises par les cybercriminels auraient fonctionn sur 159 000 appareils Apple par jour au plus fort de la campagne PEACHPIT.
Les appareils mobiles compromis sont engags dans une fraude publicitaire massive
Les appareils infects diffusaient plus de quatre milliards de publicits par jour, toutes invisibles pour les utilisateurs. N’importe qui peut accidentellement acheter en ligne un appareil faisant partie du rseau BADBOX sans jamais savoir qu’il s’agit d’un faux, le brancher et ouvrir sans le savoir ce logiciel malveillant porte drobe. Ce logiciel malveillant peut tre alors utilis pour voler des informations personnelles, excuter des robots cachs, crer des serveurs proxy rsidentiels, voler des cookies et des mots de passe usage unique, ainsi que d’autres systmes de fraude uniques , crit Rosemary Cipriano, membre de l’quipe d’Human Security.
Il convient de noter que le T95 est un botier TV connu pour contenir des maliciels prinstalls. En janvier dernier, Daniel Milisic, consultant canadien en cyberscurit, a dcouvert un logiciel malveillant sur le botier TV T95 qu’il avait achet sur Amazon. En fvrier, les chercheurs de Malwarebytes ont confirm l’existence de logiciels malveillants prinstalls sur ce botier TV. Toutefois, ce jour, Amazon continue de vendre le botier TV T95 malveillant. Selon Reid d’Human Security, le rseau ressemble un « couteau suisse pour faire de mauvaises choses sur Internet ». Reid a dclar aux mdias qu’il s’agissait d’une fraude bien organise.
Selon le rapport, bien que les auteurs de PEACHPIT semblent diffrents de ceux de BADBOX, il est probable que les deux groupes travaillent ensemble d’une manire ou d’une autre. Ils disposent d’un SDK pour la fraude publicitaire et nous avons trouv une version de ce SDK qui correspond au nom du module dpos sur BADBOX. C’est un autre niveau de connexion que nous avons trouv , explique Joao Santos, chercheur en scurit chez Human Security. Selon les chercheurs de l’entreprise, la fraude PEACHPIT concerne la fois les appareils Android et iOS, mais la porte drobe BADBOX n’a t trouve que sur Android, pas sur les appareils iOS.
Les donnes dont dispose l’entreprise ne sont pas exhaustives en raison de la complexit du secteur de la publicit, mais Redi estime que les auteurs de ce stratagme auraient pu facilement gagner 2 millions de dollars en un seul mois. Redi a dclar que vers la fin de l’anne dernire et au cours de la premire partie de cette anne, Human Security a pris des mesures contre les lments de fraude publicitaire de BADBOX et de PEACHPIT. Selon les donnes communiques par la socit, le nombre de requtes publicitaires frauduleuses provenant de ces systmes a compltement chut. Mais les attaquants se sont adapts la perturbation en temps rel.
L’entreprise explique que lorsque les contre-mesures ont t dployes pour la premire fois, les auteurs des stratagmes ont commenc par envoyer une mise jour pour brouiller les pistes. Puis, les auteurs de BADBOX ont mis hors service les serveurs C2 qui alimentaient la porte drobe du micrologiciel. Ces rsultats concordent avec ceux d’autres chercheurs. Fyodor Yarochkin, chercheur en menaces chez Trend Micro, explique que l’entreprise a vu deux groupes chinois de menaces qui ont utilis des appareils Android pirats. Selon lui, l’un a fait l’objet de recherches approfondies, l’autre est celui sur lequel Human Security s’est pench.
Il a dclar que Trend Micro a trouv une « socit de faade » pour le groupe sur lequel elle a enqut en Chine. L’infection des appareils est assez similaire. Ils prtendaient avoir plus de 20 millions d’appareils infects dans le monde, avec environ 2 millions d’appareils en ligne tout moment. Il y avait une tablette dans l’un des muses quelque part en Europe , explique-t-il. Yarochkin a ajout qu’il est possible que des pans entiers de systmes Android aient t touchs, y compris dans les voitures. Il a dclar : il est facile pour eux d’infiltrer la chane d’approvisionnement. Et pour les fabricants, c’est vraiment difficile dtecter .
Sources : Human Security, rapport de l’tude (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des menaces de scurit BADBOX et de PEACHPIT ?
Selon vous, quels pourraient tre les impacts de BADBOX et PEACHPIT ?
Comment peut-on se dbarrasser de ces menaces de scurit ?
Voir aussi