Un virus nommé BadBox a été découvert sur 30 000 appareils Android en Allemagne. Préinstallé avant leur sortie d’usine, ce malware permet de voler des données, d’orchestrer des fraudes publicitaires ou d’intégrer les appareils compromis à un botnet. Le virus vient d’être bloqué par la police allemande.
Un virus a été découvert au sein de 30 000 appareils Android localisés en Allemagne. Selon le communiqué de l’Office fédéral de la sécurité des technologies de l’information allemand, un logiciel malveillant intitulé BadBox a été glissé dans le code des appareils avant leur sortie de l’usine.
À lire aussi : Cyberattaque russe sur Android – 2 virus espions se lancent dans le vol de données
Vol de données et fraude publicitaire
Aux dires des enquêteurs, le malware a été préinstallé afin de pouvoir compromettre les appareils une fois ceux-ci connectés à Internet. Une fois que la liaison est établie, Badbox est capable de voler des données ou d’installer d’autres logiciels malveillants. Pire, le virus permet aux cybercriminels de compromettre le réseau auquel l’appareil vérolé s’est connecté.
Selon la police allemande, Badbox est aussi en mesure d’aspirer des codes d’authentification à deux facteurs ou d’orchestrer des fraudes publicitaires. Pour générer des revenus frauduleux, les pirates ont programmé le virus pour qu’il diffuse des publicités en arrière-plan. Cette tactique rapporte de l’argent aux escrocs, mais contribue à ruiner les performances de l’appareil. Enfin, le virus permet d’ajouter les terminaux compromis à un botnet, un réseau d’appareils piratés. Ceux-ci peuvent servir à mener d’autres cyberattaques, comme des attaques DDoS.
Différents types d’appareils compromis
Parmi les appareils infectés, on trouve des cadres photo numériques, des lecteurs multimédias, des appareils de streaming divers, des tablettes et des smartphones.
Après avoir identifié le virus, les forces de l’ordre ont tout mis en oeuvre pour bloquer Badbox. L’agence allemande de cybersécurité a annoncé avoir réussi à intercepter les communications entre les appareils infectés et les cybercriminels. Ils sont parvenus à rediriger tout le trafic du malware vers des serveurs contrôlés par les forces de l’ordre. Cette tactique a coupé l’herbe sous le pied des pirates. Il n’y a plus « de danger aigu pour ces dispositifs », indique la police.
Google et le Play Protect
Tous les appareils affectés tournaient sous des versions obsolètes d’Android et ne disposaient pas des protections de Google. Dans une réaction adressée à Bleeping Computer, Google précise d’ailleurs que « les appareils identifiés comme infectés étaient des modèles non certifiés par Play Protect ».
« Lorsqu’un appareil n’est pas certifié Play Protect, Google ne dispose pas d’enregistrement des résultats des tests de sécurité et de compatibilité. Les appareils Android certifiés Play Protect font l’objet de tests approfondis pour assurer la qualité et la sécurité de l’utilisateur », déclare Google.
Ce n’est pas la première fois que Google remet l’église au milieu du village suite à la découverte d’un virus préinstallé sur des appareils Android. Comme toujours, Google recommande de s’en tenir aux fabricants d’appareils certifiés. Un macaron Play Protect est normalement visible sur la boite. Dans le cas des boitiers TV, Google conseille de consulter la liste des boîtiers vendus par ses partenaires et tournant sous Android TV sur son site officiel.
Un appareil à déconnecter d’urgence
Sans grande surprise, tous les propriétaires d’un appareil touché seront promptement informés par leur FAI. Les appareils doivent être « immédiatement déconnectés d’Internet » et les usagers doivent s’en débarrasser au plus vite. Comme l’indique l’agence allemande, tous les logiciels installés sur l’appareil sont suspects et potentiellement malveillants.
La police allemande estime qu’il est probable que d’autres appareils infectés par Badbox se trouvent encore dans la nature. Tous les appareils reliés à Internet, comme des smartphones, des caméras de sécurité ou des haut-parleurs, sont à risque. C’est surtout le cas des appareils low cost achetés auprès de marques méconnues. Certaines marques externalisent le développement d’une partie des logiciels de leurs systèmes d’exploitation. Ces prestataires peu fiables exploitent souvent cette collaboration pour générer des revenus supplémentaires, en glissant un logiciel frauduleux.
Les virus préinstallés après la conception, et avant la mise sur le marché, ne sont « malheureusement pas un phénomène rare », regrette Claudia Plattner, présidente de l’agence allemande à l’origine du démantèlement de Badbox. Il y a quelques mois, un virus a en effet été découvert dans le code de 1,3 million de boîtiers Android vendus à travers le monde.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
BSI