Skip to Main Content

RottenSys : certains smartphones sont livrés avec des malware pré-installés

Voilà une caractéristique de smartphone que vous n’aviez probablement pas sur votre check-list. Des chercheurs ont découvert une série de téléphones commercialisés qui étaient livrés avec un logiciel malveillant, nommé RottenSys, pré-installé, sans que leurs propriétaires n’aient à cliquer sur quoi que ce soit.

D’après les estimations, près de 5 millions de téléphones seraient concernés. Les marques affectées sont GIONEE, Honor, Huawei, OPPO, Samsung, Vivo et Xiaomi. Bien que tous les téléphones infectés proviennent de Tian Pai, un distributeur chinois situé à Hangzhou, le lien n’a pas encore été clairement établi.

Le logiciel malveillant a été nommé RottenSys, toutefois les utilisateurs affectés voient plutôt une application à l’air inoffensif « System Wi-Fi service » pré-installée sur leur téléphone.

RottenSys démarre discrètement

RottenSys ne dévoile pas ses intentions malveillantes dès le départ pour ne pas éveiller les soupçons. Au lieu de cela, il commence par communiquer avec ses serveurs de Commande et Contrôle pour obtenir une liste de choses à faire puis il obtient le code malveillant.

Ce lot de code particulier se transforme en une campagne d’adware qui diffuse de nombreuses publicités sur l’appareil de la victime sous forme de publicités plein écran ou de fenêtres pop-up, et produisent un flux de revenus constants pour les cybercriminels.

Puis il met le paquet

Et ce n’est que le début. Les chercheurs de CheckPoint pensent que le malware peut ensuite muter selon ce que lui ordonne le serveur C&C. Ils s’attendent à ce que le malware fasse partie d’un botnet d’envergure qui pourrait distribuer d’autres applications et modifier l’interface utilisateur de la victime.

RottenSys fait partie d’une tendance moderne des malware qui consiste à ne pas vous soutirer de l’argent directement comme les rançongiciels, mais qui vous force à regarder des publicités agaçantes, puis facture les annonceurs pour leurs efforts. Personne ne sait si ces publicités sont vraiment à « valeur ajoutée ».

Les logiciels sont fabriqués comme des voitures, alors attention au volant

À l’origine, RottenSys est une faille dans la chaîne d’approvisionnement du secteur des logiciels. Comme pour la fabrication d’une voiture, dans laquelle plusieurs usines fabriquent la mousse de rembourrage, les tissus, les cadres en acier, puis une autre usine assemble le tout sous forme de sièges et les envoie à l’usine de montage final où ils arrivent environ 45 minutes avant d’être finalement vissés sur la voiture. Les constructeurs automobiles surveillent leur chaîne d’approvisionnement complète de très près. RottenSys est le signe que le secteur informatique doit en faire de même avec sa propre chaîne d’approvisionnement.

Que faire pour se protéger

Mais inutile de paniquer. En raison des prérequis qui doivent être accordés pour que le malware puisse être installé sur le téléphone, la plupart des téléphones infectés sont basés en Chine. Si vous n’avez pas acheté votre téléphone dans ce pays, vous n’êtes probablement pas concerné. Mais pour en être sûr, vous pouvez procéder comme suit :

Rendez-vous dans les paramètres système de votre téléphone Android puis dans le Gestionnaire d’applications. Puis recherchez les noms suivants de packages de malware potentiels :

  • com.android.yellowcalendarz (每日黄历)
  • com.changmi.launcher (畅米桌面)
  • com.android.services.securewifi (系统WIFI服务)
  • com.system.service.zdsgt

Si l’un de ces noms se trouve dans la liste des applications installées, il vous suffit de le désinstaller et le problème devrait être réglé.

Cet article est également disponible en: AnglaisItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he's known for making a great bowl of popcorn and extraordinary messes in a kitchen.