Google a confirmé le jeudi, dans un billet de blog publié sur Google Security Blog, qu’une porte dérobée avancée avait pu être préinstallée sur les appareils Android avant de quitter les usines des fabricants. Google a étudié la situation après qu’elle ait été révélée par des spécialistes en sécurité informatique quelques années avant. Il s'agit des applications malveillantes de la « famille Triada » conçues pour mettre du spam et de la publicité sur un appareil Android et qui ont fait leurs débuts en 2016. Selon Google, Triada a mis au point une méthode permettant d'installer les logiciels malveillants sur les téléphones Android virtuellement à l'usine, avant même que les clients n'aient démarré pour la première fois ni même installé une seule application sur leurs appareils.
Ces applications malveillantes avaient été retrouvées en 2017 préinstallées sur un certain nombre d’appareils mobiles Android, dont Les smartphones de marques Leagoo (modèles M5 plus et M8) et Nomu (modèles S10 et S20). La découverte avait été faite par la firme de sécurité Dr. Web. La firme a dit à l’époque que ces applications pouvaient être utilisées par des cybercriminels pour prendre le contrôle des appareils infectés. Les programmes malicieux de cette famille d’applications s’attaquent au processus système dénommé Zygote (le lanceur des processus d’applications tierces). En s’injectant dans Zygote, ces malwares peuvent ainsi s’infiltrer dans tous les autres processus, selon Dr. Web.
« Libandroid_runtime.so est utilisé par toutes les applications Android, ce qui fait que le malware se retrouve injecté dans la zone de mémoire de toutes les applications en cours de fonctionnement », avait expliqué la firme. Dr. Web avait ajouté que « la fonction principale de ce malware est de télécharger des composants malicieux supplémentaires. »
Parce que la porte dérobée était intégrée dans l'une des bibliothèques du système d'exploitation et située dans la section système, elle ne pouvait pas être supprimée en utilisant des méthodes standard, selon le rapport. Les attaquants ont donc pu utiliser tranquillement la porte dérobée pour télécharger et installer subrepticement des modules.
Toutefois, Google a depuis travaillé avec les fabricants pour s'assurer que l'application malveillante a été supprimée de l'image du firmware, d'après l'article de blog. Cependant, selon le dernier rapport Global Threat Index de Check Point publié en janvier dernier, Triada, la porte dérobée modulaire pour Android, a conservé la première place dans la liste des logiciels malveillants, dans l'environnement mobile.
C’est en mars 2016 que Triada a été décrit pour la première fois dans un billet de blog sur le site Web de la société de sécurité informatique Kaspersky Lab. Un autre billet de blog lui a été consacré par la société en juin 2016. À l'époque, c'était un cheval de Troie enraciné et inconnu par les analystes de la société de sécurité qui essayait d'exploiter des appareils Android après avoir obtenu des privilèges élevés.
Selon les explications fournies par Kaspersky Lab en 2016, une fois que Triada est installé sur un appareil, son but principal était d'installer des applications qui pouvaient être utilisées pour envoyer du spam et afficher des publicités. Il a utilisé un ensemble impressionnant d'outils, y compris des exploits d'enracinement qui contournaient les protections de sécurité intégrées à Android et les moyens de modifier le processus Zygote de l'OS Android.
Selon le rapport publié jeudi sur Google Security Blog, la première action de Triada a été d'installer un type de fichier binaire super-utilisateur (su). Ce su binaire permettait à d'autres applications sur le périphérique d'utiliser les permissions root. D’après Google, le su binaire utilisé par Triada nécessitait un mot de passe, ce qui veut dire qu’il était unique par rapport aux fichiers su binaires ordinaires communs aux autres systèmes Linux. Cela signifiait que le logiciel malveillant pouvait falsifier directement toutes les applications installées.
Selon Kaspersky Lab, deux raisons, entre autres, expliquent pourquoi Triada est si difficile à détecter. Premièrement, il modifie le processus Zygote. Zygote est le processus de base de l'OS Android qui est utilisé comme modèle pour chaque application, ce qui signifie qu'une fois que le cheval de Troie entre dans le processus, il devient une partie de chaque application qui est lancée sur le dispositif.
Deuxièmement, il substitue les fonctions du système et cache ses modules de la liste des processus en cours d'exécution et des applications installées. Ainsi, le système ne voit aucun processus étrange en cours d'exécution et par conséquent ne lance aucune alerte. Selon Google, Triada s'est également connecté à pas moins de 17 serveurs de commande et de contrôle.
Dans son rapport publié hier, Google a confirmé le rapport de Dr. Web, et a également indiqué que l'attaque de la chaîne d'approvisionnement a été conduite par un ou plusieurs partenaires que les fabricants ont utilisés dans la préparation de l'image finale du firmware utilisé dans les dispositifs affectés. Lukasz Siewierski, membre de l'équipe Android Security & Privacy de Google, a écrit :
« Triada infecte les images du système de l'appareil par l'intermédiaire d'une tierce partie pendant le processus de production. Parfois, les OEMs veulent inclure des fonctionnalités qui ne font pas partie du projet Open Source Android, comme le déverrouillage de visage. L'OEM peut s'associer à une tierce partie qui peut développer la fonctionnalité souhaitée et envoyer l'image système complète à ce fournisseur pour le développement ». « D'après l'analyse, nous pensons qu'un fournisseur utilisant le nom Yehuo ou Blazefire a infecté l'image système retournée avec Triada », a-t-il ajouté.
Selon l’analyse de Google dans son rapport, d’autres raisons ont rendu la famille d’applications malveillantes Triada si sophistiquée. D'une part, elle utilisait l'encodage XOR et les fichiers ZIP pour chiffrer les communications. D'autre part, elle a injecté du code dans l'application de l'interface utilisateur du système qui permettait d'afficher des publicités. La porte dérobée a également injecté du code qui lui a permis d'utiliser l'application Google Play pour télécharger et installer les applications de son choix. M. Siewierski a écrit à ce propos :
« Les applications ont été téléchargées à partir du serveur C&C, et la communication avec le C&C a été chiffrée à l'aide de la même routine de cryptage personnalisé en utilisant double XOR et zip ». « Les applications téléchargées et installées utilisaient les noms de paquets d'applications impopulaires disponibles sur Google Play. Ils n'avaient aucun lien avec les applications de Google Play à part le même nom de paquet », a-t-il ajouté.
M. Siewierski a également déclaré que les développeurs des applications Triada ont eu recours à l'attaque de la chaîne d'approvisionnement après que Google a mis en œuvre des mesures qui ont réussi la première fois à repousser la porte dérobée. L'une d'entre elles était les mesures d'atténuation qui empêchaient ses mécanismes d'enracinement de fonctionner. Une deuxième mesure a été l'amélioration de Google Play Protect qui a permis à l'entreprise de désinfecter à distance les téléphones compromis.
Le rapport indique aussi que la version de Triada qui a été préinstallée en 2017 ne contenait pas les capacités d'enracinement. La nouvelle version a été « incluse discrètement dans l'image du système en tant que code tiers pour les fonctionnalités supplémentaires demandées par les OEMs », a écrit M. Siewierski.
D’autres mesures prises par Google l’an dernier pour traquer les applications potentiellement nuisibles préinstallées
Selon le rapport, en 2018, Google a mis en place de nouvelles procédures qui font obligation aux fabricants de soumettre des nouvelles images ou des mises à jour d’images à une suite de tests de construction. A ce propos, on peut lire dans le rapport :
« L'un de ces tests de sécurité analyse les PHA (applications potentiellement nuisibles) préinstallées incluses dans l'image du système ». « Si nous trouvons une PHA dans la compilation, nous travaillons avec le partenaire OEM pour remédier à la situation et retirer la PHA de la compilation avant qu'elle puisse être offerte aux utilisateurs », ont ajouté les responsables de Google dans leur rapport Android Security & Privacy 2018 Year In Review.
Ces mesures ne sont pas les premières que Google a prises dans l’affaire Triada. Les cybercriminels à l’origine des applications Triada ont pu s’adapter et contourner les premières mesures de sécurité en exploitant de nouvelles faiblesses du système.
« L'affaire Triada est un bon exemple de la façon dont les auteurs de logiciels malveillants Android deviennent de plus en plus experts », a écrit Siewierski. Mais il a aussi dit que « Ce cas montre aussi qu'il est plus difficile d'infecter les appareils Android, surtout si l'auteur du malware a besoin d'une élévation de privilège ».
Espérons que ces dernières mesures de sécurité résistent davantage aux dernières mises à jour de Triada et aux autres malwares pour le bonheur des utilisateurs des smartphones Android. Pour rappel, dimanche dernier, il est survenu dans certaines régions des Etats-Unis, une perturbation du réseau de Google, qui a entraîné des erreurs et des ralentissements de plusieurs de ses services, même si pour la plupart des utilisateurs, cela s’est juste traduire par une lenteur inhabituelle dans leurs requêtes de recherche. La société s’en est excusée auprès des utilisateurs.
Source : Google Security Blog, Rapport Android Security & Privacy 2018 Year In Review
Et vous ?
Que pensez-vous du rapport de Google sur Triada ?
Quels commentaires faites-vous des malwares préinstallés sur les systèmes ?
Lire aussi
Google : voici ce qui a causé la grande panne de dimanche, d'après le vice-président de l'ingénierie chez Google
Android : la nouvelle politique de sécurité de Google imposera des mises à jour régulières, les fabricants de téléphones devraient s'y conformer
Les smartphones Android Leagoo et Nomu sont livrés avec un cheval de Troie préinstallé, d'après la firme de sécurité Dr. Web
Les crypto-mineurs ont encore dominé le classement des malwares ayant eu le plus d'impact, dans l'édition de janvier du Global Threat Index
Google confirme que la porte dérobée avancée a été préinstallée sur les appareils Android,
Avant qu'ils ne quittent les usines des fabricants
Google confirme que la porte dérobée avancée a été préinstallée sur les appareils Android,
Avant qu'ils ne quittent les usines des fabricants
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !