Un smartphone peut-il être infecté avant même d’arriver entre vos mains ? C’est la question soulevée par la découverte d’un nouveau backdoor Android intégré directement au firmware de certains appareils. Près de 13 000 smartphones seraient concernés. Une menace silencieuse, bien plus difficile à détecter qu’une simple application malveillante.
Un malware intégré directement dans le firmware
Les chercheurs de Kaspersky ont identifié un programme malveillant baptisé Keenadu, dissimulé au cœur même du système Android.
Habituellement, les infections surviennent après l’installation d’une application douteuse ou le téléchargement d’un fichier suspect. Ici, le code malveillant aurait été inséré dès la phase de construction du firmware, avant la commercialisation des appareils.
D’après les analyses techniques, Keenadu aurait été intégré sous la forme d’une bibliothèque statique ajoutée au moment de la compilation. Cette bibliothèque était liée au fichier système libandroid_runtime.so.
Une fois le smartphone allumé, le code s’injectait dans le processus Zygote, un composant fondamental d’Android. Ce processus sert de base au lancement de nombreuses applications. En s’y intégrant, les attaquants pouvaient potentiellement obtenir un contrôle étendu du système, avec la possibilité d’exécuter du code à distance ou de surveiller l’activité de l’appareil.
Dans certains cas, des firmwares compromis auraient même été diffusés via des mises à jour OTA, ce qui aurait pu élargir le nombre de terminaux affectés.
Une attaque de la chaîne d’approvisionnement particulièrement inquiétante
Les éléments techniques suggèrent une attaque de la chaîne d’approvisionnement. Ce type d’opération ne vise pas directement les utilisateurs, mais les étapes intermédiaires de production.
Le firmware aurait été altéré lors du développement ou de l’intégration de composants logiciels, possiblement via l’ajout d’une dépendance malveillante dans le code source. Dans ce scénario, les fabricants peuvent commercialiser des appareils infectés sans en avoir conscience.
À ce stade, environ 13 000 appareils auraient été identifiés comme compromis. Les marques et modèles concernés n’ont pas été dévoilés publiquement. Les fournisseurs informés travailleraient déjà au déploiement de firmwares corrigés.
Google Play Protect peut-il réellement protéger les utilisateurs ?
Google indique que les appareils certifiés Play Protect bénéficient d’une protection automatique.
Sur les smartphones équipés des services Google, Google Play Protect est activé par défaut. Ce système de sécurité peut détecter et désactiver les applications présentant des comportements liés à Keenadu. Cette surveillance s’applique également aux applications installées en dehors du Play Store.
Pour les utilisateurs disposant d’un appareil certifié, aucune manipulation spécifique ne serait nécessaire dans la majorité des cas. Il reste recommandé de vérifier la certification Play Protect de son smartphone et d’installer rapidement toute mise à jour système proposée.
Cette affaire montre que la menace ne se limite plus aux applications téléchargées. La sécurité d’un smartphone peut être compromise dès sa fabrication. Dans un contexte où les attaques ciblent désormais l’ensemble de l’écosystème, la vigilance commence bien avant le premier démarrage de l’appareil.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
