Les chercheurs en sécurité de Kaspersky, plus précisément l’équipe SecureList, ont découvert que certaines tablettes Android sont livrées avec un logiciel malveillant appelé Keenadu. Ce nom n’est pas inconnu dans le monde de la sécurité, mais la manière dont ce logiciel malveillant est désormais diffusé l’est en revanche.
Malware intégré dans le micrologiciel
Ce qui rend cette affaire si problématique, c’est que Keenadu n’est pas une application indépendante installée sur l’appareil. Le logiciel malveillant est intégré au micrologiciel, cette couche logicielle qui contrôle l’appareil avant même que vous n’installiez vous-même des applications. Il est donc pratiquement invisible pour les utilisateurs. Aucune application suspecte n’apparaît dans la liste des applications et même les applications de sécurité standard ne déclenchent pas immédiatement d’alerte.
Les premiers indices ne sont apparus qu’après que des utilisateurs ont remarqué des requêtes DNS inhabituelles. Il s’est avéré que ces requêtes réseau communiquaient directement avec une infrastructure liée au logiciel malveillant. Cela a incité les chercheurs à approfondir leurs investigations.
Contaminé pendant le développement
L’analyse forensic révèle que le firmware a été infecté dès la phase de développement. Le code malveillant a été intégré au fichier « libandroid_runtime.so », un composant système essentiel d’Android. Une fois actif, Keenadu s’injecte dans le processus dit « Zygote » d’Android, le processus central chargé du lancement des applications. Quiconque y a accès a en fait accès à pratiquement tout : les données des utilisateurs, les fonctions du système et la possibilité de contrôler l’appareil à distance.
Selon Kaspersky, les pirates auraient notamment pu, par ce biais, surveiller les installations d’applications afin de toucher des commissions, manipuler les publicités et insérer leurs propres annonces. Ce dernier point relève de la fraude publicitaire : une technique bien connue par laquelle les cybercriminels génèrent des revenus en détournant ou en falsifiant les flux publicitaires.
Le logiciel malveillant est toujours présent
Il est frappant de constater que le logiciel malveillant est resté actif, même après que le fabricant eut reconnu le problème. Dans certains cas, les nouvelles versions du micrologiciel contenaient toujours le code infecté. Selon les chercheurs, le fait que tous les fichiers du micrologiciel soient signés par un certificat valide indique que le micrologiciel n’a pas été modifié a posteriori par des pirates informatiques externes. La contamination semble donc plutôt avoir pris naissance au sein de la chaîne d’approvisionnement ou chez un partenaire pendant la phase de développement.
Dans certains cas, le logiciel malveillant n’a même été installé sur les appareils qu’ultérieurement et n’était donc pas préinstallé lors de l’achat.
Quelle tablette est concernée ?
À ce jour, un seul modèle a été explicitement identifié : l’Alldocube iPlay 50 mini Pro. Le fabricant, Alldocube, avait déjà indiqué que le micrologiciel de l’une de ses tablettes était infecté, sans toutefois mentionner de modèle spécifique. La tablette concernée a également été commercialisée en Europe, notamment en Belgique et aux Pays-Bas. Les Pays-Bas figurent même sur la liste des pays les plus touchés par cette infection. Les autres pays où des infections ont été détectées sont le Brésil, l’Allemagne, le Japon et la Russie.
Pour les consommateurs, la situation est délicate. Le logiciel malveillant étant intégré au micrologiciel, une réinitialisation d’usine ne suffit pas à résoudre le problème. Même la réinstallation du système d’exploitation n’offre aucune garantie si le micrologiciel lui-même reste infecté. Dans de tels cas, la seule solution durable consiste à installer une mise à jour du micrologiciel fournie par le fabricant, à condition qu’elle soit effectivement exempte de code malveillant.
Cette affaire démontre une fois de plus que les appareils Android vendus à des prix extrêmement bas peuvent présenter un risque, surtout lorsqu’ils sont commercialisés par des canaux de distribution peu transparents. Si la sécurité est une priorité pour vous, il vaut donc mieux ne pas vous limiter au prix, mais tenir compte également de la réputation du fabricant et du service après-vente qu’il propose.
