Logiciels malveillants cachés s'attaquant à des millions de téléphones Android prêts à l'emploi
Un incident préoccupant d'attaque de la chaîne d'approvisionnement ciblant les appareils Android a été découvert par des chercheurs en cybersécurité de Trend Micro. Ils ont découvert que des millions d'appareils Android, y compris des smartphones économiques, des montres intelligentes, des téléviseurs intelligents et d'autres appareils intelligents, sont infectés par des logiciels malveillants infostealer avant même de quitter l'usine.
Lors d'une conférence à Singapour, les chercheurs de Trend Micro, Fyodor Yarochkin et Zhengyu Dong, ont mis en lumière la cause profonde de ce problème, l'attribuant à une concurrence féroce entre les fabricants d'équipement d'origine (OEM). Alors que les fabricants de smartphones sous-traitent certains composants, tels que les micrologiciels, à des fournisseurs tiers, la baisse des prix des micrologiciels de téléphones mobiles a conduit ces fournisseurs à lutter pour monétiser leurs produits.
Par conséquent, Yarochkin a expliqué que ces produits ont commencé à être préinstallés avec des "plugins silencieux" qui étaient des extras indésirables. L'enquête de Trend Micro a révélé de nombreuses images de micrologiciels recherchant des logiciels malveillants et identifié environ 80 plug-ins différents. Certains de ces plugins faisaient partie d'un "modèle commercial" plus large et étaient vendus sur des forums clandestins ainsi que annoncés sur des plateformes de médias sociaux et des blogs grand public.
Ces plugins possèdent diverses fonctionnalités, notamment le vol d'informations sensibles, les messages SMS, la prise de contrôle de comptes de médias sociaux, la fraude aux publicités et aux clics, l'abus de trafic, etc. Le registre a mis en évidence un problème particulièrement grave dans lequel un plugin permet à l'acheteur de prendre le contrôle complet d'un appareil pendant des périodes allant jusqu'à cinq minutes et de l'utiliser comme "nœud de sortie".
Selon Trend Micro, les données indiquent que près de neuf millions d'appareils dans le monde ont été victimes de cette attaque de la chaîne d'approvisionnement, la majorité étant située en Asie du Sud-Est et en Europe de l'Est. Bien que les chercheurs n'aient pas explicitement nommé les coupables, ils ont mentionné la Chine à plusieurs reprises dans leur discussion.
Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?
Une attaque de la chaîne d'approvisionnement est une tactique malveillante employée par les cybercriminels pour cibler et exploiter les vulnérabilités au sein du réseau interconnecté de fournisseurs, de vendeurs et de prestataires de services qui contribuent à la production et à la distribution de biens ou de services. Plutôt que d'attaquer directement une cible spécifique, les attaquants infiltrent et compromettent une entité de confiance au sein de la chaîne d'approvisionnement pour obtenir un accès non autorisé ou introduire des éléments malveillants dans le produit ou service final.
L'objectif d'une attaque de la chaîne d'approvisionnement est d'exploiter la confiance placée dans l'entité compromise et de l'utiliser comme un tremplin pour atteindre la cible ultime. En compromettant un lien de confiance dans la chaîne d'approvisionnement, les attaquants peuvent accéder à des informations sensibles, introduire des logiciels malveillants, altérer des produits ou manipuler des processus, entraînant divers résultats préjudiciables.
Il existe différentes méthodes utilisées dans les attaques de la chaîne d'approvisionnement, notamment :
Manipulation de logiciels ou de micrologiciels : les attaquants ciblent les logiciels ou les micrologiciels des produits, en insérant du code malveillant ou des vulnérabilités au cours du processus de développement ou de fabrication.
Compromission du fournisseur : les cybercriminels compromettent l'infrastructure d'un fournisseur ou d'un fournisseur pour obtenir un accès non autorisé à des données ou à des systèmes sensibles et les utiliser comme rampe de lancement pour de nouvelles attaques.
Exploitation de composants tiers : les attaquants exploitent les vulnérabilités des composants tiers intégrés aux produits ou services, tirant parti de ces faiblesses pour compromettre l'ensemble du système.
Composants contrefaits : des acteurs malveillants introduisent des composants contrefaits ou compromis dans la chaîne d'approvisionnement, ce qui peut entraîner des failles de sécurité ou des problèmes de performances dans le produit final.