Au total, ce sont 28 smartphones qui ont été repérés avec des portes dérobées selon les experts de Dr.Web. Des smartphones qui sont principalement commercialisés en Russie et qui sont équipés pour la plupart de chipsets Mediatek.
Une premiere backdoor baptisée Android.Downloader.473.Origin a ainsi été repérée sur 26 modèles de smartphones étudiés. Le malware en question établit une connexion avec un serveur de commande distant à chaque allumage du terminal. La commande permet de télécharger une application, notamment H5GameCenter qui se charge de diffuser de la publicité dans les applications déjà installées en les remplaçant.
Une seconde porte dérobée, baptisée Android.Sprovider.7 a également été repérée, cette fois sur deux terminaux signés Lenovo, les A319 et A6000. Cette backdoor affiche des capacités bien plus étendues qui vont de l'affichage de publicité à l'appel de numéros surtaxés...
Ces backdoors sont habituellement exploitées par les fabricants pour permettre de forcer la mise à jour de certains modules du firmware, malheureusement, elles se présentent également comme de véritables cadeaux pour les cybercriminels qui en détournent sans grande difficulté leur but initial..
