GUIDE Autopsie d'un téléphone android infecté d'office, mais certifié par Google Protect

[alexandre01]

​

Il y a quelques temps, j'avais acheté un téléphone avec une batterie que l'on pouvait enlever facilement, et peu cher par la même occasion, mais qui présentait des anomalies.

Les anomalies sont les suivantes:

• Activation automatique des sources inconnues, dans le paquet settings.apk, un paquet de base d'android, permettant de faire les mises à jour, activer les sources inconnues,etc.
• Installation et lancement d'applications, présentes dans le Google Play Store, bien que non mises à jour, les applications demandant des droits exorbitants.

Comment détecter le ou les malwares ?

1) Via un antimalware:

Les antimalwares qui détectent les anomalies sont:

• MBAM
• Avast

Exemple:

L'application système a été détectée comme un trojan.

Cela donne une bonne indication, sachant que paquet fait partie de l'activation des sources inconnues, qui était activé au bout d'un moment, même si il était désactivé. Donc on suppose que l'application de base android settings.apk est infectée.

2) Via l'analyse de trafic réseau:

L'idée est venue est de capturer et d'analyser le trafic réseau passant par ce téléphone infecté d'office. On monte donc un point d'accès sous la distribution GNU\Linux pour pouvoir capturer le trafic réseau.
Par chance, le trafic réseau étant essentiellement non chiffré, ce fût très facile d'analyser le trafic réseau. Un pur trésor pour analyser ce que fait android en cachette.
Cette analyse est intéressante, parce qu'on peut voir d'une certaine manière différentes formes de tracking opérées par les applications:

On observe cette trame:

Intéressant, cette trame montre plusieurs choses:

• L'user-Agent, nommé "Apache-httpClient/UNAVAIBLE (java 1.4)" est le même que celui qui permet de faire les mises à jour android, sachant que cette fonctionnalité fait partie de settings.apk), comme le montre l'image ci-dessous. Notez que le domaine contacté est "fota.adups.cn". Sachez simplement que la société adups fournit des firmwares et est responsable des mises à jour des androids sont son contrôle. Ci-dessous, une demande de mise à jour a été effectuée par mes soins. Notez l'agent-utilisateur "Apache-httpClient/UNAVAIBLE (java 1.4)" qui permet de tracer l'installation de programmes indésirables.
  
  
  
  
  
  
• Pour installer l'application, la méthode de tracking est de récolter l'IMSI et l'IMEI du téléphone\carte SIM, bonjour la confidentialité!
• On extrait le paquet concerné, via virustotal, on constate que l'application installé est com.augeapps.locker.
• Puis, sans le savoir, je suis inscrit dans un magasin d'applications concurrent de Google Play Store, qui récolte des données, comme mon adresse mail, mon IMEI, mon IMSI:
• Cerise sur le gâteau, une capture d'écran permet de lier l'utilisateur au téléphone, dommage, j'étais en train de dormir. C'est toute une philosophie:
  
  
  
  
  
  
• Sachez que pour vérifier l'installation d'une application "pirate", un fichier est envoyé à un serveur sortant, contenant les applications installés et les processus en cours:
  exemple(tronqué):
  

  Content-Disposition: form-data; name="file";email="*@qq.com"; filename="installInfo.txt"
  
  有应用被添加com.augeapps.locker   MD5=4a5206265397c8742a68a276fa8589ae    installer是null    installerMD5=无   安装时间:2017-03-12 01:49:13
  
  isRoot = true版本较高，无安装log
  包名:com.android.systemui  appName:Interface du système   MD5:9133677e0f63ff986425f0345b1ed44e
  ....
  内核版本: 3.10.65+     platform:sc8830
  
  model=L-EMENT503   brand=Logicom   osver=5.1
  
  ps
  USER     PID   PPID  VSIZE  RSS     WCHAN    PC        NAME
  root      1     0     8792   532   ffffffff 00000000 S /init
  root      2     0     0      0     ffffffff 00000000 S kthreadd
  ...root      205   1     248    36    ffffffff 00000000 S /system/bin/debuggerd64

• Et validé par un autre fichier contenant le terme "Finish".

On trouve aussi d'autres applications:

• com.jb.zcamera
• com.jiubang.darlingclock
• com.augeapps.locker

En image:

Sur ESexplorer, qui est aussi louche dans l'histoire, on observe deux fichiers:

• kmPlugins.zip, qui a pour nom purify_1.5.5.163.apk. Ce paquet sert à rooter le téléphone.
• -1560893142.jar, qui est en réalité chargelocker, cité plus haut.

Conclusion:

• Ce téléphone a une porte dérobée\faille permettant d'installer des applications, et ainsi voler l'IMEI\L'IMSI du téléphone\carte SIM. L'utilisateur, à son insu, et connecté à un magasin d'application où la désinscription est impossible.
• Des applications supplémentaires sont installées et lancées à l'insu de l'utilisateur plus que nécessaire, afin de récolter des informations, l'utilisateur est identifié\tracé via le biais de cookies\identifiants, des informations plus que nécessaires sont enregistrées, tel que l'IMSI\IMEI\adresse mail\photo de la caméra\état du wifi et peut-être le mot de passe du Wifi.
• Finalement, ce serait une backdoor d'orgine chinoise, normalement destiné au marché chinois, lire les liens en-dessous.
  • How to Stay Safe from Adups Spyware on Budget Android Phones | Digital Trends
    Une seconde backdoor chinoise nichée dans les terminaux Android | Silicon
    6 questions et réponses sur l'affaire du backdoor chinois - FrAndroid
    • La société adups a promis de faire des mises à jour, mais je n'ai jamais vu de mise à jour, en partenariat avec Google.
    • Or il n'en est rien, je n'ai jamais vu de correctif, pire encore, le téléphone est certifié par Google Protect.
    • Aussi, je n'ai pas cherché à cacher le nom du constructeur. Il est lui-même responsable, car il a refusé de coopérer, et donc de me fournir une image système saine, prétextant de renvoyer un téléphone, or d'autres constructeurs permettent de réinitialiser le téléphone avec des logiciels adéquats, que l'on peut faire nous-même.
    • En les recontactant, pas de message de retour. Logicom refuse de communiquer, donc il est coupable, cette entreprise doit mieux tester et vérifier ses appareils.
    • Logicom est donc irresponsable, et n'est pas un constructeur sérieux.
  • La palme d'or revient à Google, qui se permet encore une fois de mentir, soit disant qu'une mise à jour serait proposé. Or rien n'a été fait, et le téléphone est certifié Google Play, c'est cela le pire dans l'histoire.
    
    Et pour terminer, comme on ne peut pas installer des roms autres que ceux des constructeurs, et que les pilotes ne peuvent pas téléchargés séparement, donc les téléphones android sont des gadgets.

Petite note à Google, qui se comporte en ce moment comme un petit dictateur: Reste humble, tout simplement que tu te permets des choses qui ne sont pas normales, comme dévoiler des failles de sécurité de Microsoft, hors toi-même tu n’arrives pas à mettre les téléphones android à jour.
Surtout tu t'attaques à un mastodon qui s'appelle Microsoft. Hors tu te crois le plus malin, mais Microsoft avait mentionné que des entreprises étaient sur-évaluées, et qu'il attendait que cela se passe pour racheter d'autres entreprises, et Microsoft a des ressources solides comme du roc en ce moment.
Ce que j'ai compris, c'est une bulle internet est en train de gonfler et va exploser. Comme tu bases tes revenus sur le modèle publicitaire, ton entreprise ne vaut rien. J'ai compris que Microsoft allait te ramasser à la petite cuillère.
Tu ressens peut-être le danger, en monétisant youtube, en faisant payer Google Maps, en essayant d'écraser Firefox et en mettant un pseudo-adblocker sur Google Chrome, mais ta fin est peut-être dans les deux ou trois années à venir.
Je dis cela, mais je n'ai rien dit, si la banque centrale américaine ferme le robinet concernant les liquidités, tu seras une victime rachetée par Microsoft.

​

 

[alexandre01]

Bonjour,

je rajoute un élément par rapport à ce qui été constaté:

Un fichier, qui s'appelle base.apk, dont les propriétés, visibles par virustotal sont visibles ici:

En oubliant les règles exorbitantes, plus qu'il en faut, ce qui est intéressant, c'est la présence des résolutions DNS:

Des ports en écoute ?

Ce qui est intéressant:

• On retrouve des sites que l'on retrouve via wireshark\tcpdump
• Lié à l'application ES File Explorer. Il y a une union entre ES File Explorer et Settings.apk, une application normalement native de saine de Google. Attention, je ne dis pas que ES File Explorer est malveillant, mais dans ce téléphone, cette application est installée d'office, sans que des publicités soient affichées, malgré les commentaires dans Google play, comme les applications téléchargées en douce dans ce téléphone. Les applications ont pu bien être modifiées par la suite par une entité X.

Conclusion:
Au final, Google Play n'est pas sûr.
Bien que Google essaye de filtrer, via des règles strictes, certains arrivent à contourner les restrictions mises en place par Google.

Faîtes bien attention que les applications soient bien notées avec une note respectable, et avec de vrais commentaires.

Aussi, je vois des articles sur des VPN sous android, promettant l'anonymat sur les téléphones android, avec des "experts" en sécurité informatique qui mentionnent que Tor est moins sécurisé qu'un VPN avec un humour assez cocasse, mais qui montre une pure incompétence technique, le but étant de tromper et de jouer sur l'incertitude des utilisateurs pour que le faux expert touche une grosse commission par vente.

Sous Android, et tout ordinateur avec le wifi activé, le Bluetooth et NFC (payement sans contact), GPS, vous n'êtes pas anonyme, puisque la localisation de votre appareil se fait par triangulation des bornes wifi.

Sous AndroÏd, il n'y a pas d'anonymat, et il n' y a pas de confidentialité.

De plus, les téléphones ne sont pas sûrs, la suspicion de portes dérobées intégrées dans le matériel est de rigueur, comme ce post le montre.

Cordialement