Publié le 2024-02-29 18:53:00. Une nouvelle porte dérobée sophistiquée, nommée Keenadu, a été découverte au cœur du micrologiciel de tablettes Android, permettant potentiellement à des attaquants de prendre le contrôle des appareils et de collecter des données sensibles. Cette menace, qui semble avoir été intégrée dès la fabrication, affecte plusieurs marques et pourrait toucher des millions d’utilisateurs.
- Une porte dérobée, Keenadu, est intégrée au micrologiciel de tablettes Android.
- Elle permet un contrôle à distance des appareils et la collecte de données.
- La compromission semble s’être produite pendant la phase de construction du micrologiciel.
Des chercheurs de Kaspersky ont mis en évidence l’existence de cette vulnérabilité, qui se manifeste par l’injection de code malveillant dans le processus zygote d’Android, un composant essentiel au démarrage des applications. Cette porte dérobée, une fois active, agit comme un chargeur en plusieurs étapes, offrant aux opérateurs malveillants un contrôle quasi illimité sur les appareils infectés.
L’équipe de recherche a identifié le code malveillant dans le micrologiciel de tablettes Android de plusieurs fabricants. Selon leurs analyses, l’infection s’est produite durant la phase de construction du micrologiciel, où une bibliothèque statique malveillante a été liée à libandroid_runtime.so. Une fois sur l’appareil, le malware s’injecte dans le processus zygote, une technique similaire à celle utilisée par d’autres portes dérobées connues, comme Triada.
Les modules téléchargés par la porte dérobée permettent de rediriger les recherches sur le web, de suivre les installations d’applications à des fins publicitaires frauduleuses et d’interagir avec des publicités intrusives. Certains de ces modules ont également été retrouvés dissimulés dans des applications distribuées via des boutiques tierces, et même sur le Google Play Store.
L’enquête a permis de remonter jusqu’aux images de micrologiciel des tablettes Alldocube iPlay 50 mini Pro. Fait troublant, toutes les versions analysées, y compris celles publiées après que le fournisseur a été informé de la présence du malware, contenaient toujours la porte dérobée. De plus, tous les fichiers de micrologiciel analysés portaient des signatures numériques valides, ce qui suggère que les attaquants n’ont pas simplement falsifié les mises à jour.
Les chercheurs de Kaspersky estiment qu’une étape de la chaîne d’approvisionnement du micrologiciel a été compromise, conduisant à l’intégration d’une dépendance malveillante dans le code source. Il est donc probable que les fournisseurs ignoraient l’infection de leurs appareils avant leur commercialisation.
Les fournisseurs concernés ont été informés et devraient publier des mises à jour de micrologiciel corrigées. Kaspersky n’a cependant pas rendu publique la liste complète des fabricants affectés, à l’exception d’Alldocube. Il est conseillé aux utilisateurs de rechercher et d’installer les mises à jour logicielles dès qu’elles sont disponibles. En attendant, les chercheurs recommandent de limiter l’utilisation des appareils potentiellement infectés.
Le malware Keenadu a été détecté dans diverses applications système du micrologiciel, ainsi que dans des versions modifiées d’applications populaires, principalement distribuées via des sources non officielles et dans l’application GetApps de Xiaomi. La suppression des applications système est difficile, car elles sont stockées dans la partition système, mais elles peuvent être remplacées ou désactivées si elles ne sont pas essentielles au fonctionnement de l’appareil. Les autres applications peuvent être désinstallées.
Selon les données de Kaspersky, 13 715 utilisateurs à travers le monde ont été exposés à Keenadu ou à ses modules. Les pays les plus touchés sont la Russie, le Japon, l’Allemagne, le Brésil et les Pays-Bas, comme l’indique le rapport publié par Kaspersky.
Kaspersky a établi un lien entre la menace Keenadu et d’autres familles de botnets Android bien connues, notamment Triada, BadBox et Vo1d.
Abonnez-vous à notre alerte e-mail de dernière minute pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici !