Publié le 2024-02-29 10:00:00. Une nouvelle porte dérobée, baptisée Keenadu, a été découverte au cœur du micrologiciel de tablettes Android, permettant potentiellement aux attaquants de prendre le contrôle total des appareils avant même qu’ils ne soient utilisés par les consommateurs.
- Plus de 13 700 utilisateurs à travers le monde ont été affectés par Keenadu ou ses composants.
- La porte dérobée est principalement utilisée pour générer des revenus frauduleux via la publicité, mais peut également manipuler le contenu des achats en ligne.
- Keenadu est particulièrement difficile à supprimer car elle est intégrée au niveau du micrologiciel, nécessitant potentiellement le remplacement complet de l’appareil.
La société russe de cybersécurité Kaspersky a révélé cette semaine l’existence de Keenadu, une menace jusque-là inconnue. Contrairement aux logiciels malveillants traditionnels téléchargés par les utilisateurs, cette porte dérobée est préinstallée sur les appareils, s’activant à chaque lancement d’application. Selon les chercheurs, Keenadu offre aux attaquants « un contrôle pratiquement illimité » sur les tablettes compromises.
Les premières analyses indiquent que le malware a été inséré durant la fabrication du micrologiciel, probablement via une chaîne d’approvisionnement compromise. Kaspersky précise que les fabricants ignoraient potentiellement la présence de la porte dérobée avant la mise en vente des appareils. Plusieurs marques sont concernées, notamment le fabricant chinois Alldocube, qui avait déjà reconnu des problèmes de sécurité sur l’un de ses modèles. Malgré des mises à jour ultérieures, y compris après la divulgation publique du problème, le micrologiciel infecté persistait.
Keenadu se manifeste sous différentes formes. La version la plus sophistiquée est directement intégrée au micrologiciel, tandis que d’autres se dissimulent dans des applications, y compris des applications de reconnaissance faciale et des logiciels disponibles sur les plateformes officielles comme Google Play et des dépôts tiers.
Les chercheurs n’ont pas encore identifié les auteurs de cette campagne, mais soulignent que les développeurs démontrent une connaissance approfondie de l’architecture Android et de ses mécanismes de sécurité. Le malware est également conçu pour éviter certaines régions : il vérifie la langue de l’interface et le fuseau horaire de l’appareil et s’arrête s’il détecte un dialecte chinois et un fuseau horaire chinois. Il reste également inactif sur les appareils dépourvus des services Google Play.
Cette découverte rappelle l’incident de 2023 impliquant la porte dérobée Triada, qui avait infecté des tablettes Android contrefaites vendues en ligne, permettant aux attaquants de voler des identifiants de messagerie et de réseaux sociaux. Plus d’informations sur Triada.
En raison de son intégration profonde au niveau du micrologiciel, Keenadu ne peut pas être éliminée par les outils de sécurité Android classiques. Kaspersky recommande d’installer une version propre du micrologiciel provenant d’une source fiable. Dans les cas les plus graves, le remplacement complet de l’appareil pourrait s’avérer nécessaire.