Triada : il y avait bien un backdoor préinstallé sur des smartphones Android

Le par  |  7 commentaire(s)
Android sécurité

Le malware Triada a su évoluer pour infecter des smartphones Android. Dans une série de publications consacrées aux applications potentiellement nuisibles, l'équipe de sécurité d'Android revient sur son cas.

En 2016, Kaspersky Lab avait alerté au sujet d'un cheval de Troie Android baptisé Triada infectant le processus Zygote (utilisé pour le lancement des processus d'applications) et se logeant principalement dans la mémoire vive d'un appareil compromis.

Ce cheval de Troie à la structure modulaire disposait de plusieurs cordes à son arc, dont des exploits root, et servait d'abord à installer diverses applications de spam sur un smartphone et pour afficher des publicités.

Dans un billet sur son blog consacré à la sécurité, Google fait une étude de cas de Triada et souligne que le renforcement des défenses de Google Play Protect contre des exploits root a fait évoluer Triada à l'été 2017 vers un backdoor d'image système.

Autrement dit, une porte dérobée préinstallée sur certains smartphones Android. Pas de panique, Google assure que dans le cadre d'une coopération avec les fabricants, des images système avec des mises à jour de sécurité ont permis d'éliminer Triada.

C'est en tout cas la confirmation de trouvailles qu'avait pu faire l'éditeur russe de solutions de sécurité Dr. Web. Dans son étude de cas, Google ne cite pas des fabricants qui ont été touchés. Il suffit néanmoins de se rendre sur la publication de l'époque de Dr. Web où il est fait mention - entre autres - des smartphones Leagoo M5 Plus, Leagoo M8, Nomu S10 et Nomu S20.

Injecté au niveau des bibliothèques logicielles d'Android et dans la section système, le backdoor échappait aux méthodes de suppression usuelles et servait au téléchargement et à l'installation de modules. Selon Google, Triada était intégré dans l'image système en tant que code tiers pour des fonctionnalités supplémentaires demandées par des fabricants.

" Parfois, les fabricants veulent inclure des fonctionnalités ne faisant pas partie du projet Android Open Source, comme le face unlock (ndlr : déverrouillage par reconnaissance faciale). Le fabricant peut établir un partenariat avec un tiers pouvant développer la fonctionnalité souhaitée et lui envoyer la totalité de l'image système. "

google-android-triada-image-systeme

Membre de l'équipe Android Security & Privacy, Lukasz Siewierski écrit que l'analyse fait ressortir le nom d'un vendeur utilisant l'identité de Yehuo ou Blazefire pour l'infection de l'image système avec Triada. Dans son analyse, Google livre plusieurs aspects techniques qui mettent en lumière la sophistication de Triada.

" Le cas Triada est un bon exemple de la manière dont les auteurs de malwares Android deviennent plus habiles. Il montre également qu'il est plus difficile d'infecter les appareils Android, en particulier si l'auteur du malware a besoin d'une élévation de privilèges ", écrit Google qui rappelle avoir mis en place un programme nécessitant que les fabricants aient recours à l'outil Build Test Suite pour l'analyse de la sécurité des images système.

Google Play Protect assure en outre la protection contre Triada… ou en tout cas ses versions connues sauf nouvelle adaptation.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2066474
Connecting people ? No, spying on people !

Je sens venir les commentaires où soit les russes ou les chinois vont être sur le banc des accusés... Et un vendredi en plus... Ho la la... Ca sent le HLT (high level troll)
Le #2066479
Ulysse2K a écrit :

Connecting people ? No, spying on people !

Je sens venir les commentaires où soit les russes ou les chinois vont être sur le banc des accusés... Et un vendredi en plus... Ho la la... Ca sent le THL (troll high level)



De nombreuses notifications liées aux applis installées sur mon tel m'interpellent regulierement.
Ne serait-ce les USA qui me soufflent à l'oreille
"Tu es notre ami, depense chez nous"
Cdiscount/Ebay/Rueducommerce/Rakuten/Micromania/fnac/Darty

Faut que je desinstalle car je pete un plomb
Le #2066486
Comme disait si bien mon papy "Et on s'en fout!".
Le #2066489
Fennec6600 a écrit :

Comme disait si bien mon papy "Et on s'en fout!".


Toujours à fond mon cochon
Le #2066490
Ombreafghane a écrit :

Fennec6600 a écrit :

Comme disait si bien mon papy "Et on s'en fout!".


Toujours à fond mon cochon


Je suis le nouveau Justin Bière et L. de Carpaccio. De temps en temps, il est important de se manifester pour être dans le tiercé. Pause la question aux autres !
Le #2066495
iOS
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme