DeathRing et CoolReaper – Le point sur les backdoors Android

1
122

Les backdoors (ou portes dérobées) DeathRing et CoolReaper découverts en décembre 2014 ont potentiellement pu toucher des millions d’utilisateurs Android. La menace proviendrait de Chine.

La firme de sécurité américaine Palo Alto Networks, qui a publié un rapport sur le backdoor CoolReaper, expliquant qu’il était présent sur 64 des 77 ROMs examinés, dont 41 signés par le certificat numérique du constructeur. Bien que ces ROMs aient été récupérés sur le site de Coolpad, une autre preuve confirme l’hypothèse selon laquelle le backdoor a été intégré intentionnellement par la société chinoise, puisque le malware est relié à un serveur de commande et de contrôle enregistré dans des domaines appartenant au constructeur.

La menace proviendrait de Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

D’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité  42 chez Palo Alto Networks.

Les serveurs de commande sont généralement utilisés pour envoyer des ordres au malware, afin d’accéder à des données privées de l’appareil, par exemple. Cependant, puisque CoolReaper est intégré par défaut dans le système des appareils Coolpad, le malware a donc tous les privilèges nécessaires pour :

  • télécharger, installer, ou activer n’importe quelle application sans le consentement de l’utilisateur ;
  • effacer les données de l’utilisateur, ou désinstaller des applications existantes ;
  • informer les utilisateurs par de fausses notifications de mise à jour, qui installeraient en réalité des applications indésirables ;
  • envoyer des SMS et MMS sans autorisation ;
  • envoyer des informations sur l’appareil, son emplacement, l’utilisation des applications, l’historique des appels et des SMS au serveur de Coolpad.

Toutefois, ceci n’est pas la seule particularité de CoolReaper. En effet, « les clients de Coolpad en Chine ont rapporté l’apparition d’applications non désirées sur leurs appareils ainsi que des notifications publicitaires. Les plaintes concernant ce comportement ont été soit ignorées par le constructeur, soit supprimées. Ce dernier a également modifié le système d’exploitation Android contenu dans beaucoup de ses ROMs, de manière à cacher les composants CoolReaper à l’utilisateur et aux autres applications, ce qui le rend difficile à détecter par les antivirus ».

1 COMMENTAIRE

Les commentaires sont fermés.