Les smartphones infectés étaient remis aux Américains qui vivent dans des conditions précaires, dans le cadre d'un programme vieux d'une trentaine d'années.
Aux États-Unis, et depuis 1985, le programme Lifeline d'Assurance Wireless permet aux ménages à faible revenu de bénéficier d'un smartphone à très faible coût, afin de leur permettre de bénéficier des services de téléphonie mobile avec appels gratuits, SMS et data. Pour seulement 35 dollars, les Américains les plus pauvres peuvent bénéficier de l'UMX U686CL. Sauf que ce smartphone, distribué en association avec l'opérateur Virgin Mobile, contenait des d'applications malveillantes.
L'appli de mise à jour de l'OS mobile infectée
La société californienne Malwarebytes fut alertée par plusieurs plaintes, reçues en octobre 2019, sur un téléphone distribué par le gouvernement qui faisaient état d'applications préinstallées malveillantes. Étonné, le spécialiste du logiciel créé pour détecter et supprimer les malwares a alors contacté l'entreprise fédérale Assurance Wireless pour lui demander pourquoi des mobiles infectés étaient vendus au public. Sans réponse.TikTok : des vulnérabilités, qui exposaient les données des utilisateurs, découvertes dans l'appli
La première application visée, Wireless Update, permet de mettre à jour le système d'exploitation de l'appareil, oui. Seulement, elle favorise aussi l'installation automatique d'applications sans le consentement de l'utilisateur. Elle est détectée sous le nom Android/PUP.Riskware.Autoins.Fota.fbcvd par Malwarebytes. Cette appli est une variante d'Adups, une société chinoise spécialisée dans la collecte de données, la création de backdoors pour mobiles et les auto-installateurs.
Une variante de HiddenAds découverte
Une autre découverte de Malwarebytes est l'installation automatique du malware Android./Trojan.HiddenAds.WRACT, une variante de HiddenAds qui s'exécute en arrière-plan sans créer d'icône d'application. On peut notamment s'apercevoir de son installation et de son fonctionnement grâce aux notifications de l'appareil, notifications qu'il est impossible d'écarter.Il existe tout de même un moyen de désinstaller ce cheval de Troie. Si l'utilisateur maintient la notification enfoncée, elle lui donne la possibilité de sélectionner l'option « Plus de paramètres », qui lui permet ensuite de remonter jusqu'aux paramètres de l'application dangereuse, et de la désinstaller.
Un autre cheval de Troie, impossible à désinstaller
Enfin, l'éditeur du logiciel de cybersécurité fait état d'un dernier malware - le pire - rattaché directement au menu « Paramètres du smartphone », identifié sous le nom Android/Trojan.Dropper.Agent.UMX. « Étant donné que l'application sert de tableau de bord à partir duquel les paramètres sont modifiés, sa suppression rendrait l'appareil inutilisable », indique tout simplement Malwarebytes.Pour l'heure, Malwarebytes ne semble pas avoir de solution pour supprimer définitivement ces malwares hébergés sur les appareils du fabricant chinois UMX, sans conséquences néfastes pour l'appareil. L'éditeur américain souligne que l'appareil n'est pas mauvais en soi, et qu'il est même performant pour le faible tarif. Seulement, l'entreprise dénonce l'utilisation qui en est faite par son fabricant.
Source : Tom's Hardware