Selon des chercheurs de Trend Micro présents à Black Hat Asia, des malfaiteurs ont infecté des millions d’appareils Android dans le monde avec des microprogrammes malveillants avant même qu’ils ne sortent de l’usine, écrit The Register. Il s’agit principalement d’appareils mobiles Android bon marché, mais aussi de smartwatches, de téléviseurs et d’autres objets.

La fabrication de ces gadgets est confiée à un fabricant d’équipement génériques. Cette externalisation permet à un acteur d’infecter les produits avec un code malveillant, ont expliqué les chercheurs.

L’objectif du logiciel malveillant est de voler des informations ou de gagner de l’argent à partir des informations collectées. Les logiciels malveillants transforment les appareils en proxies qui sont utilisés pour voler et vendre des SMS, prendre le contrôle des médias sociaux et des comptes de messagerie en ligne, et servir d’opportunités de monétisation par le biais de publicités et de fraudes au clic.

Benoit Grunemwald – Expert en Cybersécurité chez ESET France réagit : « Lorsque l’on achète un nouveau téléphone, on pense naturellement qu’il ne contient aucun logiciel malveillant. Pour autant, les attaques de la chaîne d’approvisionnement exploitent astucieusement des vulnérabilités à un stade précoce de la fabrication des appareils ce qui leur permet de contourner les mesures de sécurité habituelles. De telles attaques, utilisant des failles de sécurité aux premiers stades de la fabrication des smartphones, ne sont cependant pas nouvelles. Des chercheurs en sécurité ont découvert des microprogrammes trafiqués dès 2014. De telles menaces sont difficiles à détecter en raison de la manière dont Android gère ses micrologiciels, le système d’exploitation et les applications, telles que les solutions de sécurité. Par conséquent, si le micrologiciel est compromis, les utilisateurs ne peuvent pas faire grand-chose. Les chercheurs en cybersécurité examinent les appareils à la recherche de failles afin d’alerter lorsqu’un comportement logiciel suspect est détecté.»

Lire aussi  Où en est l’Afrique dans la protection des données personnelles ?