C’est une découverte ahurissante que les chercheurs d’Upstream ont fait via sa plateforme antifraude Secure-D : des centaines de milliers de smartphones bas de gamme du fabricant chinois Transsion étaient vendus avec un maliciel installé et prêt à sévir. Les modèles Transsion Tecno W2 sortaient de l’usine avec le code malveillant préinstallé. Le maliciel abonnait les possesseurs du téléphone, à leur insu, à des services payants.
La plateforme de sécurité Upstream Secure-D a détecté et bloqué un nombre inhabituellement élevé de transactions initiées à partir de ce modèle de smartphone. Ces transactions provenaient principalement de pays émergents (Éthiopie, Cameroun, Égypte, Ghana et Afrique du Sud), en plus de quelques transactions frauduleuses détectées dans 14 autres pays. Plus de 19,2 millions de transactions frauduleuses, toutes venant de possesseurs du modèle Tecno W2 ont été comptabilisées. Le maliciel aurait été installé à une étape non connue de la chaîne d’approvisionnement des appareils concernés.
D’après Google Security Blog, « Triada a été inclus discrètement dans l’image du système en tant que code tiers, comme cela se fait pour apporter des fonctions supplémentaires demandées par les OEM. Cela souligne la nécessité de procéder à des vérifications de sécurité approfondies et continues des images système avant que l’appareil ne soit vendu aux utilisateurs, ainsi qu’à chaque fois qu’il est mis à jour par voie hertzienne ».
Un cheval de Troie difficile à déloger
Après une enquête approfondie, les chercheurs de Secure-D les enquêteurs de Secure-D sont parvenus à identifier des composantes du code xHelper/Triada dans 53 000 modèles Tecno W2. Le maliciel Triada agit comme une porte dérobée. Il télécharge et injecte du code malveillant. Dans ce cas précis, il installe un cheval de Troie appelé xHelper sur les appareils compromis. Ce dernier persiste lors des redémarrages, des suppressions d’applications et même des réinitialisations, ce qui le rend extrêmement difficile à déloger, même pour les professionnels expérimentés, sans parler de l’utilisateur moyen.
Lorsqu’ils sont exposés au bon environnement, par exemple un réseau téléphonique particulier, les composants xHelper peuvent effectuer des requêtes pour trouver de nouvelles cibles d’abonnement et soumettre des demandes d’abonnement frauduleuses au nom du propriétaire du téléphone, sans que celui-ci se doute de quoi que ce soit. Ces demandes sont automatiques, c’est-à-dire qu’elles ne nécessitent pas l’autorisation du propriétaire du téléphone, et invisibles. La fraude consiste à consommer du temps d’antenne prépayé des victimes : le seul moyen de payer les produits numériques dans de nombreux marchés émergents.