Keenadu a infiltré les appareils en se faisant passer pour des composants système légitimes, ce qui a suscité des appels à des contrôles plus stricts de l’intégrité des micrologiciels dans les pipelines de fabrication et de la chaîne d’approvisionnement.
Un utilisateur ne peut pas faire grand-chose lorsqu’il est confronté à un malware Android complexe préinstallé sur son nouveau smartphone ou sa nouvelle tablette.
Les chercheurs en sécurité de Kaspersky ont signalé un malware Android à multiples facettes baptisé Keenadu, qui peut être préinstallé via le micrologiciel de l’appareil, compromettant ainsi les utilisateurs avant même de terminer l’installation.
« Keenadu nous rappelle que les logiciels malveillants mobiles ne sont plus seulement un problème d’application malveillant, mais plutôt un problème d’intégrité de la chaîne d’approvisionnement et du micrologiciel », a déclaré Nick Tausek, architecte principal de l’automatisation de la sécurité chez Swimlane. « La variante Keenadu la plus dangereuse est intégrée au niveau du micrologiciel, offrant ainsi aux attaquants un contrôle illimité et la possibilité d’opérer dans le contexte de chaque application sur l’appareil, ce qui peut transformer une seule tablette ou un seul téléphone compromis en un risque d’exposition des données à l’échelle de l’entreprise. »
Les chercheurs ont déclaré que la menace avait déjà touché des utilisateurs dans plusieurs pays, infectant plus de 13 000 appareils en février, comme l’a détecté Kaspersky. « Le plus grand nombre d’utilisateurs attaqués a été observé en Russie, au Japon, en Allemagne, au Brésil et aux Pays-Bas, mais d’autres pays ont également été touchés », ont ajouté les chercheurs de Kaspersky dans un article de blog.
Les logiciels malveillants préinstallés s’exécutent avec des privilèges élevés
Kaspersky a signalé que Keenadu peut arriver sur de nouveaux appareils, déjà intégrés dans le logiciel système, lui permettant de fonctionner avec des privilèges élevés dès l’activation de l’appareil. Étant donné que les composants malveillants sont présents dans le micrologiciel plutôt que installés ultérieurement en tant qu’applications, les utilisateurs concernés peuvent avoir une capacité limitée à les détecter ou à les supprimer par des moyens conventionnels.
« Sans aucune action de la part de l’utilisateur, un appareil peut être infecté dès la sortie de la boîte », a déclaré Dmitry Kalinin, chercheur en sécurité chez Kaspersky, dans un communiqué publié sur le blog. « Les fournisseurs n’étaient probablement pas au courant de la compromission de la chaîne d’approvisionnement qui a conduit Keenadu à infiltrer les appareils, car le malware imitait des composants système légitimes. Il est important de vérifier chaque étape du processus de production pour s’assurer que le micrologiciel de l’appareil n’est pas infecté. »
Une fois actif, Keenadu hérite d’autorisations fiables au niveau du système et fonctionne avec une visibilité minimale. Le malware ne s’active que dans des conditions spécifiques, restant inactif sur les appareils configurés en langue chinoise ou sur des fuseaux horaires et sur ceux dépourvus de Google Play Store et des services Google Play.
Intégré aux applications système principales
Keenadu peut contrôler les applications système légitimes sur les appareils concernés. Kaspersky l’a observé à l’intérieur de composants critiques tels que les applications de déverrouillage du visage, augmentant ainsi la possibilité que des attaquants puissent accéder aux données biométriques. Le logiciel malveillant a également été détecté dans l’application de l’écran d’accueil qui contrôle l’interface principale de l’appareil.
Les chercheurs ont averti que la porte dérobée offre aux attaquants un contrôle étendu sur l’appareil. Keenadu peut infecter d’autres applications installées, installer des logiciels supplémentaires à partir de fichiers APK et accorder à ces applications toute autorisation disponible sur le système. Cela permet de compromettre les données sensibles stockées sur l’appareil, notamment les fichiers multimédias, les messages, les informations d’identification bancaire et les informations de localisation.
Le malware peut également surveiller les requêtes de recherche dans le navigateur Chrome, même lorsque les utilisateurs opèrent en mode navigation privée.
Autres modes d’infection
Kaspersky a souligné que la distribution de Keenadu ne se limite pas aux composants système préinstallés.
Dans certains cas, le logiciel malveillant a également été observé intégré dans des applications distribuées via les magasins d’applications Android, où il peut être fourni sous forme de téléchargement apparemment inoffensif et activé après l’installation. La plupart de ces applications sont destinées aux caméras domestiques intelligentes et ont été téléchargées plus de 300 000 fois, ont indiqué les chercheurs, ajoutant qu’elles avaient toutes été supprimées au moment de la divulgation.
Tausek affirme que l’atténuation doit commencer avant « détecter et supprimer ». « La voie à suivre consiste à associer des lignes de base strictes telles que la gouvernance OTA et les politiques EMM avec une prévention et un confinement basés sur l’IA qui détectent les empreintes comportementales des portes dérobées avant qu’elles ne se transforment en mouvement latéral », a-t-il déclaré. « Les modèles d’IA peuvent corréler en permanence la télémétrie mobile avec les signaux d’identité, de point final et de réseau pour signaler les appareils à haut risque en temps réel et déclencher des garde-fous automatisés tels que l’isolement des appareils ou la révocation de sessions et de jetons. »
Les recommandations de Kaspersky comprenaient la vérification des mises à jour du micrologiciel si l’appareil est infecté, l’exécution d’une analyse de l’appareil avec une solution de sécurité « fiable » et l’arrêt de l’utilisation ou la désactivation de l’application si une infection est suspectée.
