Pour une bonne part, ces malwares Android proviennent directement du Play Store de Google, qui, malgré les efforts répétés pour le nettoyer, reste une source récurrente d’applications douteuses qui se situent quelque part entre la tromperie suspecte et la malveillance pure.
Selon une présentation faite lors du Black Hat par Maddie Stone, chercheuse dans l’équipe Project Zero de Google, il existe un autre moyen contre lequel il est presque impossible pour les utilisateurs de se défendre : des applications malveillantes préinstallées en usine.
Cela commence avec le nombre impressionnant d’applications livrées avec les appareils Android prêts à l’emploi : à savoir entre 100 et 400.
Les cybercriminels n’ont besoin de cibler que l’une d’entre elles, ce qui est devenu un véritable problème pour les smartphones moins chers utilisant l’Open Source Android Platform (AOSP), par opposition à la version Google “stock” sous licence qui utilise des marques plus connues.
Le botnet Chamois
Elle a cité plusieurs cas rencontrés alors qu’elle occupait encore son ancien poste au sein de l’équipe sécurité Android de Google, notamment un botnet SMS et de fraude au clic appelé Chamois, qui a réussi à infecter au moins 21 millions d’appareils à partir de 2016.
Les malwares se cachant derrière ce dernier se sont révélés plus difficiles à combattre que prévu, car en réalité la société a réalisé en mars 2018 que, dans le cas des 7,4 millions d’appareils, l’infection avait été préinstallée au niveau de la supply chain.
Google a réussi à ramener en 2019 le nombre de Chamois préinstallés à un dixième du niveau précédemment atteint, mais malheureusement, Chamois n’était qu’un des nombreux problèmes de sécurité de la supply chain qu’il avait découverts.
Parmi les autres fabricants, 225 ont laissé des logiciels de diagnostic sur des appareils offrant un accès à distance via des backdoors, le code Android Framework ainsi modifié permettant la journalisation au niveau des spywares ou l’installation d’applications qui avaient été programmées pour contourner la sécurité de Google Play Protect (GPP).
Une partie de ces problèmes avaient été causés par inadvertance, comme le cas de ces fabricants OEM qui ont décidé de changer des paramètres pour leur faciliter la vie, mais la situation était assez dangereuse pour que Google lui attribue un numéro CVE et publie un correctif logiciel, début 2019, qui interdisait ce contournement.
La complexité de la supply chain
Le problème de la supply chain concernant les malwares est passé sous silence depuis un certain temps, mais c’est la première fois qu’un employé de Google attire l’attention de manière ciblée sur ce problème.
Comme Stone l’admet, il est plus difficile de résoudre ce problème que de faire la même chose pour les applications malveillantes accessibles depuis le magasin Google Play, car dans ce cas la détection doit se faire à un niveau inférieur à celui des applications de sécurité traditionnelles.
C’est également un élément inhérent à la complexité de la supply chain des constructeurs OEM Android, qui est à comparer avec celle d’Apple, qui contrôle l’ensemble du processus pour son iPhone.
Maintenant que les attaques de la supply chain Android ne sont plus un secret, Stone aimerait voir davantage de recherches de tiers sur cette couche logicielle.
Bien que ce soit une suggestion à prendre en compte, cela ne devrait tout de même pas nous faire oublier que la plupart des utilisateurs sont toujours, et de plus en plus, susceptibles de rencontrer des applications malveillantes là où ils sont pourtant persuadés qu’ils n’en trouveront pas, à savoir le magasin Google Play.
Billet inspiré de Android users menaced by pre-installed malware, sur Sophos nakedsecurity.