Смарт-техника с «сюрпризом»
В мире и в России появились миллионы умных устройств на базе ОС Android, которые сошли с конвейера, будучи зараженными вредоносным ПО. Как пишет профильный ресурс Bleeping Computer, это и смартфоны, и ТВ-приставки, и умные телевизоры, и даже смарт-часы – в общей сложности около 9 млн экземпляров современной техники.
На всех этих устройствах был обнаружены вредоносы семейства Guerrilla – универсальные инструмент киберпреступника, позволяющие перехватывать сообщения в мессенджерах, особенно в WhatsApp, одноразовые пароли из SMS-сообщений и прочую чувствительную информацию, для посторонних глаз не предназначенную. Согласно отчету компании Trend Micro, малвари пробрались в общей сложности на устройства 50 различных брендов.
В дополнение к краже информации вирусы Guerrilla еще и скачивают на зараженные устройства рекламные приложения, которые без конца показывают спам когда можно и когда нельзя. Что немаловажно, даже если удастся уберечься и не купить зараженное на заводе Android-устройство, вероятность познакомиться с Guerrilla поближе и оценить его умения все равно остается. Эти вредоносные утилиты прокрались даже в магазин Google Play под видом вполне легитимного ПО. На момент публикации материала в каталоге было найдено лишь 15 таких утилит, и Google не гарантирует, что их не может оказаться в несколько раз больше.
Россияне в опасности
Какие именно производители, сами того не зная, продают потребителям опасные устройства, в отчете Trend Micro не указано. Но в нем упоминаются страны с наибольшей концентрацией зараженных Android-смартфонов, и этот перечень уже вселяет тревогу.
Большая часть таких гаджетов используется в США, на втором месте идет Мексика. Также не повезло жителям Индонезии и Таиланда, но хуже всего то, что в топ-5 по количеству инфицированных Guerrilla устройств вошла и Россия.
Кто виноват
Guerrilla открывает на зараженном устройстве бэкдор, по которому реализует регулярные сеансы связи с удаленным сервером управления и контроля, пишет Ars Technica. Делается это, в том числе, для проверки обновлений и загрузки более новой версии малваря с сервера.
В Trend Micro уверены, что по бэкдору также передаются и многочисленные пользовательские данные, которые затем могут быть проданы не менее многочисленным рекламодателям. Аналитики компании уверены, что за всем этим стоит некая хакерская группировка Lemon Group, но они пока не делают предположений, насколько она обширна из какой страны происходит.
Trend Micro заявляет, что они впервые разоблачили Lemon Group в феврале 2022 г., вскоре после чего группа якобы была переименована в Durian Cloud SMS. Однако инфраструктура и тактика злоумышленников остались прежними.
Trend Micro не уточнила, как Lemon Group удается заражать устройства вредоносным ПО, но уточнила, что исследованные ее аналитиками устройства проходили процедуру перепрошивки.
Возможные способы достижения этой компрометации включают атаки на цепочку поставок, скомпрометированное стороннее программное обеспечение, скомпрометированный процесс обновления прошивки или привлечение инсайдеров к производству или цепочкам распространения гаджетов.
Ошибиться может каждый
Чтобы стать обладателем зараженного Guerrilla смартфона или умных часов, не нужно обязательно покупать гаджеты строго на сайтах объявлений или на непроверенных интернет-магазинах. По данным портала TechCrunch, нажить себе проблем могут и клиенты крупнейших торговых площадок, в том числе Amazon.
На этом маркетплейсе специалисты TechCrunch обнаружили изобилие ТВ-приставок на базе Android, в которых вирусы Guerrilla поставляются предустановленными. Что важно, все перечисленные модели приставок известны и в России – это в первую очередь AllWinner T95, AllWinner T95Max, RockChip X12 Plus и RockChip X88 Pro 10.
Как и в случае со смартфонами, инфицированными приставками управляет удаленный сервер. Операторы сервера собирают пользовательскую информацию и могут установить на приставку любое нужное им ПО – рекламное, другой вирус и пр. С завода в их память встроен вирус, который в фоновом режиме «смотрит» рекламу и кликает по ней, тем самым обеспечивая операторам сервера дополнительный доход.
Эксперты Trend Micro предполагают, что фактическое количество Android-устройств, зараженных Guerrilla, может быть выше. Проявили себя лишь 9 млн гаджетов – остальные могли еще не успеть связаться с подконтрольными хакерами удаленными серверами. Например, такие устройства вполне могут лежать на складе или витрине и ждут своего покупателя.
Ничего нового
Предустановка вредоносного ПО на Android-устройства на этапе производства – очень часто встречающееся явление, но, как показывает практика, это касается, в основном, бюджетных устройств. Например, в Северной Америке распространены смартфоне бренда Blu, которые регулярно оказываются в центре скандала из-за обнаруженных в их прошивке малварей.
С такой проблемой, как пишет Ars Technica, жители Нового света столкнулись, к примеру, в ноябре 2016 г. Тогда на сотнях тысяч смартфонов Blu, продававшихся, в том числе, через Amazon и Best Buy, было найдено рекламное приложение AdUps. Оно было вшито в программную часть мобильников.
Иногда бывает и так, что вирусы попадают и в смартфоны, на которые действует госсубсидия. Такая история произошла в США в начале 2020 г. с владельцами смартфонов UMX U686CL, часть стоимости которых при покупке компенсировало американское правительство. Эти аппараты продавались через оператора связи Virgin Mobile, и в них тоже было обнаружено вредоносное ПО, притом, что очень важно, неудаляемое. Другими словами, чтобы не стать частью мошеннической схемы, владельцам UMX U686CL нужно было или решить вопрос с установкой заведомо безопасной прошивки, или отказаться от смартфона в пользу другой модели.
В подобной ситуации в 2020 г. оказались и владельцы смартфонов начального уровня известного в России бренда, принадлежащего китайскому холдингу Transsion. CNews писал, что вендор попался на продаже дешевых умных мобильников с предустановленным малварем, крадущим персональные данные, показывающим рекламу и опустошающим счета пользователей. Представители Transsion заявили, что искать виновного следует среди компаний, производящих комплектующие для смартфонов холдинга.
Многие смартфоны с интегрированным шпионским софтом продаются и на территории России. Как сообщал CNews в ноябре 2019 г., в смартфонах 26 крупных и не очень производителей, в том числе российских BQ и Dexp, было выявлено 146 различных уязвимостей. В списке присутствовала и продукция Samsung – мобильники J5, J6, J7, J7 Neo, J7 Duo и J7 Pro.
- Почём сегодня объектное хранилище на 2 000 Гб? Предложения десятков поставщиков ― на ИТ-маркетплейсе Market.