Des logiciels malveillants préinstallés qui inscrivent les utilisateurs mobiles à des services d'abonnement sans leur autorisation ont été découverts sur des milliers de smartphones à bas prix du fabricant chinois Transsion.
La découverte a été faite par la plate-forme antifraude d'Upstream Secure-D dont les chercheurs ont mené une enquête complète sur l'origine des transactions suspectes détectées par sa plate-forme.
À partir de mars de l'année dernière, la société a découvert et bloqué un nombre inhabituellement élevé de transactions provenant de combinés Transsion Tecno W3 en Éthiopie, au Cameroun, en Égypte, au Ghana et en Afrique du Sud avec des transactions mobiles frauduleuses supplémentaires détectées dans 14 autres pays.
À ce jour, un total de 19,2 millions de transactions suspectes, qui auraient secrètement inscrit des utilisateurs à des services d'abonnement sans leur autorisation, ont été enregistrées à partir de plus de 200 000 appareils uniques. Beaucoup de ces transactions bloquées ont été effectuées par une famille d'applications appelée com.mufc dont la source est inconnue et ne peut être téléchargée à partir d'aucun magasin d'applications Android.
Directeur de Secure-D chez Upstream, Geoffrey Cleaves a fourni des informations supplémentaires sur l'état actuel de la fraude publicitaire mobile, en déclarant:
«La fraude publicitaire mobile est en train de devenir une épidémie qui, si elle n'est pas contrôlée, réduira la publicité mobile, érodera la confiance dans les opérateurs et laissera les utilisateurs aux prises avec des factures plus élevées. Une approche unifiée est nécessaire pour sensibiliser. Cette menace particulière profite des plus vulnérables. Le fait que le logiciel malveillant arrive préinstallé sur des téléphones qui sont achetés par millions par des ménages généralement à faible revenu vous dit tout ce que vous devez savoir sur ce à quoi l'industrie est actuellement confrontée. »
Sommaire
Malware préinstallé
Afin d'enquêter sur le nombre élevé de transactions suspectes qu'il a observé, Secure-D a acquis une sélection de téléphones mobiles et d'appareils Tecno W2 nouvellement achetés auprès d'utilisateurs réels. L'analyse de l'entreprise a été réalisée à l'aide d'une combinaison de modèles d'appareils et de versions de micrologiciels et les smartphones testés ont été connectés à une variété de types de réseaux différents.
L'enquête de Secure-D a confirmé que les appareils Tecno W2 de Transsion étaient livrés avec des logiciels malveillants liés à Triada préinstallés. Triada est un malware populaire qui agit comme une porte dérobée et un téléchargeur de logiciels malveillants. Le logiciel malveillant utilise des privilèges de périphérique de niveau supérieur pour exécuter un code malveillant arbitraire après avoir reçu des instructions d'un serveur de commande et de contrôle à distance avant de masquer sa présence à l'intérieur des composants permanents du système pour éviter davantage la détection.
Une fois Secure-D connecté les appareils Tecno W2 qu'il avait acquis à Internet, le malware Triada a téléchargé un cheval de Troie appelé xHelper. Le cheval de Troie persiste lors des redémarrages, des suppressions d'applications et même des réinitialisations d'usine, ce qui le rend extrêmement difficile à supprimer, même pour les professionnels expérimentés.
Secure-D a également constaté que lorsque les composants xHelper sont exposés au bon environnement, tel qu'un réseau téléphonique particulier, ils ont fait des requêtes pour trouver de nouvelles cibles d'abonnement et soumettre des demandes d'abonnement frauduleuses au nom du propriétaire sans méfiance du téléphone. Comme ces demandes sont automatiques et invisibles, elles auraient consommé le temps d'antenne prépayé de l'utilisateur, car c'est le seul moyen d'effectuer des paiements numériques dans de nombreux marchés émergents.
La transsion n'est peut-être même pas à blâmer, car un article de blog de l'équipe de sécurité de Google attribue l'existence de Triada aux actions d'un fournisseur malveillant quelque part dans la chaîne d'approvisionnement des appareils concernés.
TechRadar Pro a contacté Transsion Holdings pour obtenir une déclaration, mais la société n'a pas encore répondu au moment de la rédaction.