Votre box Android TV cache peut être un malware

Des milliers de box Android TV dans le monde sont criblées de malwares. Cachés dès la sortie de l’usine, ces virus mettent en grand danger les utilisateurs et leur vie privée. On trouve ces logiciels malveillants dans le code d’appareils low cost fabriqués en Chine.

Les boîtiers Android TV bon marché sont généralement truffés de logiciels malveillants. D’après une étude de Human Security, une société spécialisée dans la cybersécurité, relayée par Wired, de nombreuses box Android TV sur le marché cachent en effet un malware.

Les chercheurs ont repéré des signes d’activités malveillantes dans 200 modèles de boîtiers différents. L’étude corrobore les conclusions de Daniel Milisic, un chercheur en sécurité informatique. Début d’année, celui-ci a en effet découvert un virus appelé clickbot dans le micrologiciel de la puce de son décodeur Android, acheté à prix cassé sur Amazon.

À lire aussi : Ces applis Android malveillantes diffusent secrètement des pubs sur votre smartphone et plombent votre batterie

Des milliers de box Android TV malveillantes

Les experts d’Human Security ont donné un nom à cette profusion de virus sur les appareils Android TV abordables : Badbox. L’étude décrit Badbox comme « un réseau mondial de produits grand public dotés de portes dérobées et de micrologiciels installés via la chaîne d’approvisionnement matérielle ». Les enquêteurs ont pu identifier avec certitude la trace d’une infection à Badbox dans plus de 74 000 appareils Android dans le monde. Certains des boîtiers infectés ont été repérés dans des écoles américaines.

En clair, une multitude de boîtiers sont infectés par des malwares dès la sortie de l’usine. Ces terminaux se retrouvent ensuite sur le marché. Une fois installés dans le domicile des utilisateurs, les boîtiers vont « se connecter immédiatement à un serveur de commande et de contrôle afin d’obtenir les instructions des acteurs malveillants à l’origine du stratagème ». Comme l’explique Gavin Reid, chercheur chez Human Security à Wired, « lorsque vous branchez cette chose », elle contacte la Chine et reçoit un jeu d’instructions. Le boîtier commence alors « à faire un tas de mauvaises choses ».

Les maliciels préinstallés vont orchestrer des fraudes publicitaires, utiliser l’appareil comme proxy, ou installer du code malveillant à distance à l’insu des usagers. Selon Human Security, les hackers peuvent « développer des programmes entièrement nouveaux et les déployer […] sans aucune interaction de la part des propriétaires de ces appareils ». Encore plus terrifiant, les cybercriminels peuvent « vendre l’accès à votre réseau domestique » afin de détourner la provenance d’une activité illicite vers votre domicile.

Enfin, les box TV peuvent aussi servir à la création de comptes Gmail ou WhatsApp factices. Les pirates échappent ainsi à « la détection classique contre les robots, car le compte semble avoir été créé à partir d’une tablette ou d’un smartphone normal, par une personne réelle », explique le rapport. Ces comptes peuvent ensuite servir de différentes façons à des cybercriminels, notamment pour brouiller les pistes et mettre des bâtons dans les roues des forces de police qui chercheraient à les retrouver.

Aux origines de Badbox

Les appareils concernés par Badbox sont généralement vendus à moins de 50 euros sur des boutiques en ligne ou des magasins physiques. Il s’agit de box de marque blanche, dont les noms varient. Sans surprise, elles ont été fabriquées en Chine. Dès leur sortie des lignes de production, et avant qu’elles arrivent chez les revendeurs, les box sont infectées par un malware glissé par un prestataire malveillant.

Celui-ci est basé sur le code de Triada, un malware repéré en 2018 dans le système d’exploitation de plus de 40 smartphones low cost. Le virus se loge dans un processus clé d’Android utilisé pour lancer les apps. De cette manière, Triada peut accéder aux applications installées et parvenir à ses fins.

Les chercheurs de TrendMicro abondent dans le même sens. Ceux-ci ont remonté la piste jusqu’à un groupe basé en Chine, qui prétend avoir infecté plus de 20 millions d’appareils dans le monde. Les pirates se targuent d’avoir 2 millions d’appareils en ligne sous leur coupe à tout moment. Toutes sortes d’appareils Android pas chers, comme des téléphones, des tablettes ou des boxs, sont concernés.

La mise en garde de Google

Comme l’explique Google, les boîtiers de marque blanche ne sont pas équipés d’Android TV ou de Google TV. Les entités qui commercialisent ces appareils s’appuient plutôt sur la version open source d’Android, AOSP (Android Open Source Project).

« Les appareils hors marque découverts infectés par Badbox n’étaient pas des appareils Android certifiés Play Protect », déclare un porte-parole de Google à Wired.

En effet, ces produits ne sont pas certifiés par le Play Protect, le service de sécurité fourni par Google pour les appareils Android. Google ne peut donc pas assurer la sécurité des utilisateurs. Avant l’achat, on vous conseille de bien vérifier que l’appareil soit certifié.

Source : Human Security