Plusieurs modèles de mobiles Android infectés par une backdoor

Le site Ars Technica a révélé, jeudi 6 juin, que des hackers sont parvenus, en 2017, à pré-installer une backdoor sur certains mobiles Android avant même que ces derniers ne quittent les usines de leurs fabricants.

Plusieurs modèles infectés dès la sortie d’usine

Dénommé Triada, ce malware était apparu une première fois en 2016. Assez avancé pour pirater chaque application installée sur le terminal, sa principale utilité pour les hackers était alors d’envoyer du spam et de d’afficher des publicités.

C’est la firme de sécurité Dr. Web qui a repéré le “retour” de Triada dès juillet 2017. Le malware est alors apparu directement dans le firmware de plusieurs modèles Android, dont le Leagoo M5 Plus, le Leagoo M8, le Nomu S10 ou encore le Nomu S20.

Une information confirmée par Google, sans nommer toutefois les fabricants infectés :

Triada infecte des images système de l’appareil via une tierce-partie pendant le processus de production. (…) Au terme de notre analyse, nous pensons qu’un fournisseur utilisant le nom de Yehuo ou de Blazefire a infecté l’image système restituée avec Triada.

google-android-production-process-triada.png

Une opération de grande ampleur dans un contexte sensible

Pour l’expert en cybersécurité Bruce Schneier, il s’agit évidemment d’une opération de grande ampleur :

C’est une attaque de chaîne de production. Cela semble être l’œuvre de criminels, mais aurait tout aussi bien pu être celle d’un État-nation.

Le nom de Triada constitue-t-il un indice sur l’origine des responsables ?

Toujours est-il que dans un contexte de guerre commerciale (et technologique) entre les États-Unis et la Chine, le choix des équipements et des fournisseurs devient décidément une affaire de haute stratégie pour les entreprises…

(Source : Ars Technica)