01 Juin 2018

Leagoo, Doogee, Homtom… Des smartphones infectés par un Trojan directement dans le système Android

Google+ Commentaires Newsletter

1er juin 2018 : Publication d’un droit de réponse de la société Haier

 

Leagoo M9, Leagoo M8 Pro, Homtom HT16, Doogee Shoot 2… Qu’ont en commun ces smartphones ? Ils sont vendus à des prix riquiqui et ils intègrent un Trojan très néfaste : Android.Triada.231. C’est ce qu’à rapporté Dr.Web, une société russe éditeur d’anti-malwares. Elle revendique plus de 40 autres modèles prévenant de marques chinoises.

Découvrons la liste des smartphones infectés, ce que provoque ce Trojan et enfin, quelques solutions pour s’en prémunir…

 

43 modèles de smartphones concernés

C’est un premier chiffre rapporté par Dr.Web qui précise que d’autres modèles seraient tout aussi contaminés. Dans cette liste vous trouverez beaucoup de smartphones Leagoo et Doogee.

  • Leagoo M5 *
  • Leagoo M5 Plus *
  • Leagoo M5 Edge *
  • Leagoo M8 *
  • Leagoo M8 Pro *
  • Leagoo Z5C *
  • Leagoo T1 Plus *
  • Leagoo Z3C *
  • Leagoo Z1C *
  • Leagoo M9 *
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51 *
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

* mise à jour 1er juin : Ces modèles sont reliés à des marques qui ont souhaité répondre aux méthodes de Dr. Web. Nous avons publié ses réponses dans la suite de l’article.

La totalité de ces smartphones sont inférieurs à 100€. La majorité même sous les 50€ donc de l’entrée de gamme et certains modèles se trouvent assez facilement (Aliexpress, Gearbest ou même Amazon France). C’est le cas du Leagoo M8 Pro aux alentours de 95€ sur Amazon

 

 

Lettre d’Haier France

Le 1er juin 2018, le Directeur général d’Haier France nous a envoyé un droit de réponse. Nous la publions ci-dessous, vous trouverez notre réponse juste après.

Droit de réponse Haier
Nous, Haier France, demandons le droit de répondre aux allégations de votre article intitulé « Leagoo, Doogee, Homtom… Des smartphones infectés par un Trojan directement dans le système Android » et daté du 10 mars 2018, relayant un article du site russe d’anti-virus Dr. Web, publié le 1er mars 2018, dans lequel notre marque figure parmi celles contenant le virus Android.Triada.231.

Il faut tout d’abord préciser que l’article du Dr. Web concerne uniquement notre modèle T51, qui est distribué exclusivement en Russie et au Kazakhstan. Il convient également de préciser que les allégations que vous avez relayées proviennent d’un blog de logiciel antivirus qui utilise ses « études » dans le but de vendre ses solutions antivirus.

Contrairement à ce qui est allégué par le site Dr. Web et repris dans votre article, les modèles T51 ne sont pas vendus avec des logiciels préinstallés malveillants. Avant l’expédition, tous les téléphones Haier sont strictement scannés et testés contre les virus, dans notre laboratoire, en utilisant une solution anti-virus des plus performantes, pour en garantir la qualité. Ces modèles sont ensuite envoyés à Google pour la certification CTS. Cette « alerte virus » s’explique par le fait que la signature du virus Android.Triada.231 n’était pas encore dans les bases de données virales de certaines applications préinstallées de ce modèle au moment de la fabrication de certains modèles T51.

Dès qu’Haier a pris connaissance de l’identification de la signature du virus Android.Triada.231, elle a traité le problème et renforcé ses contrôles anti-virus. Les téléphones Haier sont donc exempts de virus et parfaitement sûrs.

Veuillez noter que cette clarification a également été communiquée au site Dr. Web

Haier, qui est la seule société présente physiquement en France et dans cette liste nous a envoyé ce droit de réponse. Je trouve naturel qu’elle ait le droit de se justifier et nous sommes ravis de l’attention qu’ils portent à notre article. Par soucis de transparence je partage les documents qui ont fait l’objet de cette demande ici, , et enfin ici. Ce document est beaucoup plus critique sur l’article et j’en apporte les réponses :

Vous reprochez à l’article les 2 choses suivantes : le premier qui « laisserait croire […] que le problème pourrait impliquer l’ensemble des téléphones fabriqués par Haier » et le second « en laissant entendre que la société Haier serait mal intentionnée et aurait commercialisé ses téléphones portables avec un virus préinstallé en connaissance de cause ».

Nous indiquons que selon Dr. Web, la liste pourrait être plus grande mais nous précisons que si tel était le cas, il concernerait des smartphones de même gamme de prix et surtout qui sont distribués dans une liste limitée de pays (Europe de l’Est, Russie et Afrique). Nous déconseillons d’acheter un smartphone à 50€ pour plusieurs raisons : la finition, les caractéristiques, les limitation et potentiellement le risque de trouver des Trojans puisque l’article fait le lien entre la liste Dr. Web et les prix de ses smartphones (tournant aux alentours de 50 et 100€). Cette liste ne reflète pas du tout la réalité du marché, il s’agit d’exception et je le précise puisqu’il n’est pas rare de trouver des modèles peu onéreux et très fiables comme l’est le Xiaomi Redmi 4A qui peut s’acquérir à moins de 70€ par exemple.

Pour le second point, je faisais un rapprochement de plusieurs marques présentes dans la liste de Dr. Web et leurs particularité à produire des smartphones à bas prix, et qui ont des retours peu glorieux en particulier sur la batterie et l’assemblage. Je comprends que même si je n’ai pas cité votre marque, des personnes peuvent penser qu’il s’agit de la liste complète de Dr. Web. Vous n’êtes cependant que présent dans la liste Dr. Web uniquement.

Par ailleurs, nous n’avons aucunement l’objectif de nuire à votre marque, ni propager de fausses informations. C’est l’objet de cette publication et de ses éclaircissements.

 

 

 

Que fait ce Trojan ?

Le Trojan Android.Triada.231 va pourvoir faire plusieurs choses :

Installation d'application à votre insu
La définition même du Cheval de Troie, il va pouvoir installer et exécuter des applications en background. C’est le pire des droits, ça veut dire qu’il va installer des applications de plus en plus récentes : tracking (géolocalisation, capture d’informations ou traçage de vos habitudes sur le smartphone), publicités intrusives (popups ou chargement de page sur le navigateur, incrustations de pubs sur l’écran d’accueil ou de déverrouillages) ou encore d’autres applications dont certaines censées augmenter les performances de votre appareil (ironie).

La tendance fera qu’au fil du temps, il sera de plus en plus difficile d’utiliser le smartphone, le rendant même inutilisable : trop de processus lancés, RAM saturée, Stockage pleins…

Récupération de données privées
Le Trojan peut accéder à tout ce qui est stocké sur le smartphone : données bancaires non cryptées, mots de passes, historique de navigation
Accès aux SMS, désactivation d'anti-virus...
Comme beaucoup de malwares il va pouvoir envoyer des SMS mais surtout en lire. Plus grave, il pourra lire l’intégralité de vos messages. Très pratique pour constituer un profil utilisateur et vous mettre des pubs ciblées (ou les revendre purement.. bref les possibilité sont très larges).

Et puisqu’il peut lancer des applications en arrière plan, il peut en fermer d’autres ou encore désactiver les services de protection en temps réel des anti-virus. Pas tous en revanche en tout cas pas Dr.Web qui n’oublie pas d’en faire la promo de son anti-virus…


Comment cela est possible ? Et bien le Trojan est tout simplement installé dans la partition system d’Android. Il utilise un composant nommé Zygote qui est responsable des lancements de programmes sur Android.

Comme il est intégré dans le système, plus particulièrement dans la librairie libandroid_runtime.so, il obtient les droits nécessaires pour gérer le lancement ainsi que le contrôle d’application. Même pas besoin de chercher à avoir un accès root comme font les Trojans classiques.

Plus une version d’Android est ancienne, plus le Trojan est efficace. On peut voir dans la liste des smartphones récents comme le Leagoo M9 sorti en décembre 2017 et sous Android 7 Nougat et plus anciens en Android 5.1.

 

 

Et NOUS dans l’histoire ?

Alors oui, je vous vois venir. Il se trouve que BXNXG à pu diffuser ce type de smartphone chinois dans ses Bons Plans de la semaine. C’est vrai Que nous avons publié des offres pour le Leagoo M8 Pro, le Doogee X5 Pro et le HOMTOM HT16. Des modèles au rapport caractéristique/prix (je dirais pas qualité) très intéressants. Pour une cinquantaine d’euros vous avez un smartphone de 5 à 5.7″ en écran HD avec une grande partie des bandes 4G dont la B20 800Mhz très utilisé en France et en Belgique.

Bien heureusement dans la liste des smartphones touchés, la majorité provient de marques qui vendent essentiellement en Russie, Pologne, Turquie, Afrique et Europe de l’est. Il sera plus rare de retrouver ses modèles ailleurs.

Exception de UMI ou HOMTOM qui ont fait de gros efforts modèles après modèles comme le UMI Super testé ici à l’époque, les autres marques comme LEAGOO, DOOGEE, UHANS, ILIFE [..] sont des marques qui proposent énormément de produits bas de gamme. Ça devrait donc pas nous surprendre 😄. Ces marques ont longtemps été décriés avec des écrans de mauvaises qualité qui se décollait, des appareils qui ne tenaient pas plus de 2 mois et surtout qu’il ne fallait surtout mais SURTOUT PAS laisser décharger complètement au risque de ne plus jamais pouvoir le charger. C’est pour cela que vous retrouverez très peu de smartphones de ces marques ici, ou alors des modèles milieu de gamme plus chers.

Peut on encore acheter des smartphones à moins de 100€ ?
On ne peut que vous conseiller d’éviter d’acheter des modèles de smartphones 4G à 50€ d’une manière général.

Acheter un smartphone à bas prix et sans risque en terme de qualité et de sécurité est toujours possible. Il y aura toujours des exceptions comme les smartphones de génération précédentes en déstockage ou encore des petits modèles 3G ou non 4G Globale. Il y a aussi des constructeurs sérieux comme Xiaomi et ses Redmi 4A ou Redmi Note 5A : des smartphones 4G+ récents que l’ont a pu voir en promo jusqu’à 67€.

 

 

LEAGOO répond…

L’histoire avec DR.Web fait suite à une découverte du trojan en juillet 2017, où 4 modèles dont les LEAGOO M5 et M8 contenaient le trojan Android.Triada.231. Le constructeur précise qu’ils auraient corrigé ses erreurs et ne sont pas d’accord avec cette nouvelle liste d’une quarantaine de modèles dont 10 sont du constructeur.

Après propagation dans les médias de l’article du site DR.Web, la société LEAGOO a publié des déclarations sur leurs site et leur page Facebook. Sans réfuter la présence de Trojan, elle la minimise en disant qu’il s’agit d’une « False virus alert caused by some APK codes for intented advertisement » soit une alerte causée par la présence de code de service de publicité ciblée. Est ce que quelque part c’est pas une méthode cacher un Trojan.. ?

Ils précisent qu’ils auraient retiré toutes ses applications incriminés en publiant des mises à jours. Cela bien avant cet article, ça remonterait même à juillet 2017, lorsque DR.Web a découvert le Trojan sur quelques modèles.

Ils dénoncent un faux procés fait par la société DR.Web, et « relayé aveuglément par les médias ». Le problème c’est que le Trojan est bien présent inbox. Peut être que les derniers modèles de M8 et M9 sortis d’usine ont pu être mis à jour, reste qu’ils avaient des stocks de produit qui contenaient ce Trojan. Stock qui peut encore exister chez des fournisseurs physiques ou des sites d’import…

Selon DR.Web, le service qui contiendrait ce Trojan sur tous ses smartphone viendrait d’un seul et même développeur d’application basé à Shangai. Aucune autre information fournie mais cette même société serait aussi l’auteur du Trojan Android.Muldrop.294 un autre Trojan publicitaire dans l’application Multiple Accounts: 2 Accounts.

LEAGOO a peut être bien fait de réagir, se montrant soucieux de ses clients, mais il fait preuve comme beaucoup d’autres de négligence en montrant qu’il ne vérifiait pas ou mal les applications qu’il compile dans les firmwares de ses smartphones. ne vérifiant pas les applications tierces en général. D’ailleurs ce n’est pas la première fois que des Trojans son détectés chez ce Constructeur. Voici un test vidéo du Leagoo T5c où le Trojan.Gorilla.AM serait présent et tenez-vous bien où : dans le Launcher officiel, préinstallé, dans le système ! Ça commence à 6:38 :

J’ai essayé de chercher des avis utilisateurs sur le Net, mis à part des fans de la marque qui disent que tout va bien, qu’ils n’ont jamais rien eu, j’avoue n’avoir rien trouvé qui concorderait avec les risques du Trojan détecté par DR.Web (et qui semble aussi se détecter avec d’autres anti-virus comme Kaspersky et Malwarebytes). Il est tout de même rare de trouver des retours utilisateurs sur des modèles low-cost et peu répandus.

 

 

Comment s’en débarrasser ?

L’éditeur Dr.Web indique 2 manières d’éradiquer le Trojan. Soit depuis un anti-virus avec accès Root (comme le sien mais il semble qu’il est détectable avec Kaspersky et Malwarebyte), soit en changeant le firmware.

Personnellement je déconseillerai de donner un accès root pour n’importe quelle application non open-source. Si c’est l’unique solution et que votre smartphone souffre, faîtes le puisque ce sera plus simple. Si vous n’êtes pas trop un bidouilleur, autant vendre votre âme à un anti-virus russe 😂 !

L’autre solution consiste à mettre les mains dans le cambouis : Changer de ROM. Soit le constructeur reconnaît son erreur (ce qui est peu probable surtout sur du low-cost) et fourni un firmware zippé avec un tutoriel pour changer la ROM, soit vous vous tournez auprez des ROMs alternatives basées sur des firmwares équivalents et parfois même le firmware officiel du smartphone mais avec le Trojan en moins (puisque certains modèles infectés sont connus depuis plusieurs mois).

 

Quelques ROMs alternatives et Stocks :

  • Le Leagoo M8 Pro a un topic dédié (TWRP, Root, ROMs) sur XDA et ce thread
  • Le HOMTOM HT16 à une ROM alternative en LineageOS 14
  • Le UMI London à une ROM LineageOS 13 (Android 6)
  • Autres smartphones : une recherche sur XDA directement est le mieux, sinon Google mais vérifiez bien les avis des sites qui hébergent ses ROMs

 

 

Quelques conseils

Préférez des constructeurs qui sont soit connus comme Meizu, Xiaomi.. Ou des filiales de constructeurs connus comme Honor, Nubia, Smartisan… Vous pouvez trouver des constructeurs de smartphones low-cost sérieux, c’est le cas de Vernee (M5, M5 Pro), de UMIDIGI et il y en a bien d’autres.

Si un autre modèle vous donne envie mais que vous avez un doute, vérifiez les retours clients et PAS sur la fiche produit du site d’import très souvent biaisés (ses utilisateurs ont des points s’ils notent le produit, ce qui les incites à surnoter le produit. De de toute façon ce sont des avis sur les premiers jours d’utilisation. Vérifiez plutôt sur plusieurs sites, déjà s’il existe des tests poussés sur ce smartphone (je parle de tests sur le long terme), ensuite XDA au niveau des topics et commentaires, les forums dédiés, les commentaires sur les pages officielles des marques (Facebook, Twitter). Il y a peut être des trolls mais vous trouverez des avis dominants sur la fiabilité, la présence de malwares etc.

Continuez sur le site...

Restez informés des Actus, Tutos et Bons-Plans en suivant BXNXG :

Tags

Commentaires

  • lydia
    12 mai 2018 Répondre

    bonjour;
    ie viens de découvrir votre article. N’etant pas férue d’informatique je ne savais pas pour Leagoo. Or la semaine passée j’ai commandé et payer un Leagoo M9 Pro sous Android Oréo. Savez-vous s’il est infecté aussi svp?

    • Benji_X80
      13 mai 2018 Répondre

      Bonjour, il n’est pas dans la liste mais il est certain que d’autres modèles sont infectés. Leagoo à cependant promis via une mise à jour de retirer toute trace de ce trojan sur leurs appareils.

Leave a Comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.