Le 28 septembre 2015

Souvent, les malfaiteurs utilisent le moyen suivant pour infecter les appareils mobiles sous Android : ils poussent les victimes à installer des logiciels à l'aide de l'ingénierie sociale. Mais ce n'est pas le seul. Les chercheurs de Doctor Web ont également détecté des cas d'intégration de Trojans au sein du firmware de l'appareil mobile. Le backdoor Android.Backdoor.114.origin en est un exemple.

Android.Backdoor.114.origin est connu depuis plus d’un an par les spécialistes de Doctor Web. Il est intégré au sein du firmware des appareils mobiles et fonctionne en tant qu’application système. C’est pourquoi il est quasiment impossible de supprimer le Trojan par les moyens standards : sa suppression nécessite d’avoir les privilèges root sur l’appareil ou d’installer d'une nouvelle image " saine " du système d'exploitation, ce qui induit la perte de toutes les données sur l'appareil mobile si l'utilisateur n'a pas créé de sauvegardes.

En septembre, les spécialistes ont découvert une nouvelle vague d’infections dues à Android.Backdoor.114.origin. Les utilisateurs de tablettes sous Android Oysters T104 HVi 3G ont été victimes de ce malware qui se masquait dans l'application système GoogleQuickSearchBox.apk. Le fabricant de ce modèle a été informé de ce problème, mais au moment de la publication de cet article, la version officielle du firmware n'a pas été modifiée et contient toujours ce backdoor.

Android.Backdoor.114.origin recueille et envoie au serveur de gestion des renseignements sur l'appareil infecté. En fonction de la version du malware il peut transmettre les données suivantes :

• identificateur unique de l'appareil ;
• Adresse MAC de l'émetteur Bluetooth ;
• type d'appareil infecté (Smartphone ou tablette) ;
• paramètres du fichier de configuration du Trojan ;
• Adresse MAC de l'appareil ;
• identificateur IMSI ;
• version du Trojan ;
• version du système d'exploitation ;
• version API du système d'exploitation ;
• type de connexion réseau ;
• nom du package du Trojan ;
• identificateur du pays ;
• résolution de l'écran ;
• nom du fabricant de l'appareil ;
• nom de l'appareil ;
• utilisation de la carte SD ;
• espace disponible sur la carte SD ;
• utilisation de la mémoire interne de l'appareil ;
• espace disponible dans la mémoire interne de l'appareil ;
• liste des applications installées dans le répertoire système ;
• liste des applications installées par l'utilisateur.

Mais le but principal du malware Android.Backdoor.114.origin est de télécharger, installer et supprimer d’autres applications sur commande des malfaiteurs. Il faut noter que le Trojan peut activer l'option « installer des applications depuis des sources inconnues ». Ainsi, même si l'utilisateur suit les mesures de sécurité recommandées, le backdoor modifie les paramètres appropriés et pourra installer des applications malveillantes, publicitaires et indésirables.

Les spécialistes de Doctor Web conseillent de lancer périodiquement un scan antivirus sur les appareils mobiles sous Android. En cas de détection du Trojan ou d'autres malwares au sein du firmware de l'appareil,l'utilisateur doit contacter le fabricant afin de mettre à jour l'image du système d'exploitation, car il est presque impossible de supprimer le logiciel malveillant à l'aide de l'antivirus.