Le 1er mars 2018

Au milieu de l'année 2017, les analystes de Doctor Web ont signalé la détection du Trojan Android.Triada.231 dans le firmware de quelques modèles populaires et bon marché de Smartphones Android. Depuis la détection du malware, le nombre de modèles de Smartphones contaminés a augmenté pour en compter plus de 40 à ce jour. Doctor Web a suivi de près ce Trojan et publie les résultats de son travail de recherche.

Android.Triada.231 appartient à la famille des chevaux de Troie Android.Triada. Ces Trojans infectent le processus du composant système appelé Zygote, qui participe au lancement de toutes les applications. Après s'être introduits dans ce module, les Trojans pénètrent dans les processus d'autres applications en cours et peuvent ainsi exécuter des actions malveillantes sans aucune intervention de l'utilisateur. Ils peuvent notamment télécharger discrètement et lancer des logiciels. Un des traits caractéristiques du Trojan Android.Triada.231 est que ses auteurs l’intègrent à la bibliothèque système libandroid_runtime.so au niveau du code source et ne le diffusent pas sous forme d'un programme particulier. Par la suite, l'application malveillante s’installe directement dans le firmware des appareils mobiles infectés dès le stade de la production, et les utilisateurs deviennent propriétaires de Smartphones contaminés lorsque ces derniers sont encore "dans la boîte".

Immédiatement après la détection d'Android.Triada.231 à l’été dernier, Doctor Web l'a signalé aux fabricants des appareils contaminés. Malgré cela, le malware se trouve sur de nouveaux modèles de Smartphones. Par exemple, il a été détecté sur le Smartphone Leagoo M9, qui a été annoncé en décembre 2017. L'étude a montré que le Trojan a été ajouté au firmware sur demande d’un partenaire de Leagoo, une société de développement de Shanghai. Cette société a fourni une de ses applications à inclure dans une image du système d’exploitation, ainsi que des instructions expliquant comment introduire un code tiers dans les bibliothèques système avant la compilation. Malheureusement, une telle demande n'a évoqué aucun soupçon et Android.Triada.231 a été implanté dans les Smartphones sans problèmes.

L'analyse de l’application que la société partenaire a proposé d'apporter au firmware de Leagoo M9 a montré qu’elle était signée par le même certificat que le Trojan Android.MulDrop.924 décrit par Doctor Web en 2016. On pourrait supposer que le développeur qui a demandé d'ajouter un programme supplémentaire à l'image de l'OS peut être directement ou indirectement impliqué dans la propagation d'Android.Triada.231.

Jusqu'à présent, les analystes ont détecté Android.Triada.231 dans le firmware de plus de 40 modèles d’appareils Android :

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

Et la liste des modèles infectés pourrait s'avérer beaucoup plus large.

L’ampleur de la propagation d'Android.Triada.231 indique que beaucoup de fabricants d'appareils Android prêtent trop peu d’attention aux problèmes de sécurité, et que l’introduction d’un code malveillant dans les composants système à la suite d'une erreur ou d'une malveillance peut être une pratique assez courante.

Les produits Dr.Web pour Android détectent toutes les modifications connues d'Android.Triada.231. Pour vérifier si un appareil mobile est contaminé, il faut lancer son analyse complète. En cas de privilèges root, Dr.Web Security Space pour Android est en mesure de neutraliser Android.Triada.231 en traitant le composant système infecté. Si l'accès root est indisponible sur un appareil contaminé, pour éradiquer le malware, vous devez installer une image saine de l'OS qui peut être fournie par le fabricant de votre Smartphone.

Plus d'infos sur ce Trojan