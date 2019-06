Par la voie d’un billet publié sur son blog, Google a mis au jour une infection informatique ayant touché plusieurs smartphones Android en 2017. Les attaquants sont ainsi parvenus à installer une porte dérobée avant que les appareils mobiles ne quittent les usines de fabrication.

Si le malware Triada ne vous dit rien, alors n’hésitez pas à jeter un œil aux publications d’antan de Kaspersky Lab. En 2016, la firme de cybersécurité russe décrivait ce virus comme l’un des chevaux de Troie les plus sophistiqués jamais observés sur appareil mobile, avant qu’il se ne transforme en une porte dérobée suite à un renforcement de la sécurité déployé par Google Play Protect, le service de sécurité de la firme de Mountain View pour Android.

Une porte dérobée visiblement très efficace au regard du dernier billet publié par la multinationale américaine. L’objet de cette sortie médiatique se focalise en effet sur Triada, dont l’installation sur des smartphones Android, en 2017, a donné du fil à retordre aux équipes de la société d’outre-Atlantique. Et le moins que l’on puisse dire, c’est que les pirates ont installé leur virus très en amont du processus de développement du téléphone.

Des smartphones infectés avant la sortie d’usine

En clair : lors de la conception d’un smartphone Android, la version open source du système d’exploitation, baptisé Android Open Source Projet, ou AOSP, ne prend pas en charge certaines fonctionnalités. À l’image de face unlock, ou le déverrouillage par reconnaissance faciale, cité comme exemple par Google. De ce fait, les constructeurs se tournent parfois vers des développeurs tiers pour créer ladite fonctionnalité.

Problème : certains développeurs mal intentionnés ont intégré dans l’image système du code tiers malveillant, Triada en l’occurrence. Ainsi, les produits en question étaient tout bonnement déjà infectés à la sortie d’usine, avant même d’arriver dans les mains des futurs utilisateurs. Ces derniers, loin de se douter d’une telle tromperie, se retrouvaient ensuite en possession d’un appareil équipé de Triada.

Discrétion et efficacité

En tant que porte dérobée, Triada favorisait l’affichage de publicités intempestives et l’envoi de spams en tout genre. De quoi considérablement dégrader l’expérience utilisateur. Si Google n’a donné aucune précision sur les noms des fabricants concernés, la firme de cybersécurité Dr. Web avait mis en exergue plusieurs entreprises chinoises en 2017 : Leagoo et Nomu, dont les modèles Leagoo M5 Plus, Leagoo M8, Nomu S10 et Nomu S20 ont pu faire l’objet d’une intrusion de ce type.

Ce cas de piratage informatique montre à quel point les hackers, selon leur degré de connaissance, peuvent injecter un malware en s’infiltrant directement dans le système d’un produit, non pas lorsque celui-ci est abouti, mais lorsque son processus de développement est encore en cours. Ici, il n’est plus question de s’attaquer à une ou plusieurs personnes, mais à un groupe d’appareils mobiles destinés à débarquer sur le marché grand public dans la foulée. Un stratagème discret et ô combien redoutable en cas de réussite.

Crédit photo de la une : Rami Al-zayat via Unsplash.