Accueil
Cyberécurité

Une porte dérobée dans les smartphones Coolpad

Cédric Mialaret
Cyberécurité

Coolpad

La division Unit 42 du spécialiste de la sécurité mobile Palo Alto Networks a découvert une porte dérobée majeure dans les appareils du fabricant Chinois Coolpad.

D’après Canalys, Coolpad est le sixième producteur mondial de smartphones avec 3,7 % de parts de marché, et le troisième fabricant en Chine derrière Xiaomi et Lenovo. Si Coolpad est peu connu en Europe, l’entreprise vend plus de smartphones en Chine que Samsung et Apple.

C’est même le leader de la 4G en Chine avec 16 % de parts de marché.

Les produits phares de la marque sont connus sous les noms Halo et Dazen.

Suite à des réclamations dans les forums concernant des activités suspectes des smartphones Coolpad, Palo Alto Networks a décidé d’analyser les mémoires mortes d’appareils de la marque, qui tournent tous sous Android.

Sur 77 mémoires analysées, 64 ont une porte dérobée, que Palo Alto Networks a nommée CoolReaper.

 

CoolReaper

CoolReaper est une porte dérobée et un logiciel malveillant qui permet de :

  • Télécharger, installer et activer toute application Android, sans le consentement de l’utilisateur ni notification;
  • Effacer les données personnelles, désinstaller des applications, tout comme des utilitaires systèmes ;
  • Afficher de fausses notifications de mise à jour, qui installe des logiciels malveillants et des applications ;
  • Envoyer des SMS et des MMS, et insérer de faux SMS et MMS dans le téléphone ;
  • Appeler n’importe quel numéro de téléphone ;
  • Téléverser des informations sur l’appareil, sa géolocalisation, l’utilisation des applications, l’historique des appels et des SMS, sur des serveurs Coolpad. Bien évidemment sans l’autorisation et à l’insu de l’utilisateur.

Le risque est d’autant plus grand que d’après le spécialiste, il serait facile pour un pirate de prendre le contrôle des serveurs de commande et contrôle de CoolReaper.

Le fabricant Coolpad a modifié Android en profondeur pour cacher au mieux cette porte dérobée, et rendre difficile la détection de CoolReaper par les logiciels antivirus.

 

Un risque global

Les appareils mobiles sont pour l’essentiel vendus en Chine et en Asie, mais la firme a déjà des accords avec des opérateurs américains, où elle a vendu plusieurs millions d’appareils à MetroPCS (rachetée depuis par T-Mobile US) et GoSmart Mobile.

En Europe, elle produit les Coolpad 8860U et Coolpad 8870U pour Orange et Vodafone, qui les distribuent dans plus de 10 pays.

Depuis juillet 2014, CoolPad est aussi distribué en Inde, Indonésie et Taïwan. La distribution devrait bientôt commencer en Birmanie, Malaisie, et Thaïlande.

Le risque de CoolReaper est donc un enjeu mondial.

D’après l’Unit 42, il est presque certain que les logiciels malveillants sont le fait de CoolPad, et non de tiers : les fichiers malicieux sont signés avec un certificat Coolpad, et les deux domaines utilisés par les serveurs pirates de commande et contrôle, coolyun.com et 51coolpad.com, appartiennent à CoolPad.

Le spécialiste estime qu’au moins 10 millions d’appareils compromis sont en fonctionnement dans le monde.