Вредный бренд
ИТ / Статьи
информбезопасность ПО хакеры
9.3.2022

Вредный бренд

Насколько опасны предустановленные вирусы в смартфонах

Партию китайских смартфонов, поступивших с завода с предустановленным вредоносным ПО, выявила японская компания по информбезопасности (ИБ) Trend Micro. Российский рынок оказался на втором месте после индонезийского по числу поставленных от производителей гаджетов с вирусами. Они способны передавать злоумышленникам тайные SMS-оповещения и совершать хищения от имени владельца.

ЧЬЯ ЗАКЛАДКА

Trend Micro удалось найти в РФ только 16 тыс. зараженных до продаж мобильных, но эксперты уверены, что аппаратов с вирусами значительно больше. Вредоносное ПО (ВПО) могут использовать для регистрации на различных сайтах и создания «левого» аккаунта. Например, Trend Micro обнаружила Telegram-канал на 27 тыс. подписчиков, где все еще можно делать фейковые профили в сервисах каршеринга с помощью бэкдоров в смартфонах.

Японская ИБ-компания сообщила о следующих моделях и брендах, пострадавших от вмешательства злоумышленников: ZTE (Blade 3), MiOne (P1, R5, R3, Hero 5), Meizu (V8), Huawei (Mate 20 Pro, P9, P20 Pro, Honor (5X KIW-TL100 и другие).

Точно неизвестно на каком этапе заражается техника – на стадии производства или в процессе установки ПО сторонними поставщиками. Это может быть специально модифицированные прошивки, либо вредонос попадает через поставки по серым схемам с внедрением зловредов третьими лицами.

ВПО на телефоне до продаж может появится двумя путями, сообщил RSpectr начальник отдела системной архитектуры компании «Информзащита» Никита Наговицын.

Его туда переустанавливает производитель намеренно в качестве закладки, которая в дальнейшем может быть использована для шпионажа, кражи информации или удаленного управления, полагает Н.Наговицын. Но такой вариант маловероятен, сразу оговаривается эксперт. Так как это несет в себе значительные репутационные риски для вендора. Тем не менее, хакеры могут использовать уязвимости гаджета на самых ранних этапах.

Никита Наговицын, «Информзащита»:

– Установка ВПО – это внедрение зловреда, а то, что делают на заводах, это закладка недекларированной возможности. Она не описана в документации и может быть использована злоумышленниками как бэкдор, через который можно навредить системе.

Другая уязвимость связана с тем, что софт, устанавливаемый на телефон, не монолитен. «Он включает в себя множество продуктов, разработанных сотнями международных компаний, которые, в свою очередь, используют готовые сборники подпрограмм  и их  механизмы, созданные третьими лицами. Если злоумышленникам удастся встроиться в эту сложную цепочку или подменить какую-то библиотеку, используемую в дальнейшем для подготовки эталонного образа прошивки телефона, то они смогут встроить свое ВПО в телефоны производителя без его ведома», – рассказал Н.Наговицын.

Однозначно указать на виновного, как правило, не представляется возможным, соглашается с коллегой начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд, комментируя ситуацию RSpectr.

«Если речь о закладке в пользовательской оболочке – это один сценарий, в микроконтроллерах – другой, в предустановленном ПО – третий. Иногда за себя говорит репутация компании-производителя/завода-изготовителя: если в их гаджетах уже находили вредоносы, не исключено, что это может повториться», – пояснил эксперт.

Представитель «СёрчИнформ» не считает, что существует единая государственная или корпоративная политика на внедрение ВПО в устройства. Ведь производитель может собирать, и при желании передавать государству, массу пользовательских данных совершенно легитимно. Однако человеческий фактор на местах – другое дело.

Алексей Дрозд, «СёрчИнформ»:

Мне кажется, вероятней история, когда некие криминальные структуры договариваются напрямую с сотрудниками на производстве и внедряют закладки через них. Масштабы такого явления будут ограничены отдельными партиями, зато в схеме явно видны и выгодоприобретатели, и мотив – невозможность получить нужные данные легально.

ДЕШЕВО – ОПАСНО

История нелегальных предустановок началась не сегодня. Так, представители антивирусного ПО Avast Threat Labs обнаружили рекламное приложение Cosiloon в 141 модели на базе Android, включая ZTE, Archos и myPhone. Исследователи отмечали, что оно было загружено примерно на 18 тыс. смартфонов пользователей Avast в более чем 100 странах мира, в том числе в России, Италии, Германии, Великобритании и США. Точно неизвестно, как именно Cosiloon попало на гаджеты. Одна из гипотез заключалась в том, что взломщикипостоянно загружали на управляющий сервер вредоносный payload, замаскированный подполезную нагрузку, а производители продолжали поставлять новые устройства с ПО для скрытого развертывания программы.

В 2020 году эксперты обнаружили предустановленное ВПО на дешевых китайских телефонах, которое крало данные и деньги у жителей развивающихся стран. Например, смартфон Tecno W2 продавался за 30 долларов. Пользователи в Эфиопии, Камеруне, Египте, Гане, Индонезии и Мьянме жаловались, что всплывающие объявления на Tecno W2 прерывали звонки и чаты, а средства на их мобильном счету таинственным образом расходовались.

Жертвам также поступали сообщения о платных подписках на неизвестные сервисы

Расследование службы безопасности мобильных устройств Secure-D показало, что смартфоны до продажи были заражены вредоносами xHelper и Triada. Эти виды ВПО тайно загружали приложения и оформлялиплатные услуги без ведома хозяев гаджетов. Secure-D ранее обнаруживала предустановленный вредоносный софт на телефонах марки Alcatel китайского производителя мобильных телефонов TCL Communication в Бразилии, Малайзии и Нигерии.

Ранее RSpectr писал, что создатели ВПО прилагают максимум усилий для того, чтобы обойти и статические, и динамические средства анализа вирусов. 

ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ

Злоумышленники преследуют две цели – охота за деньгами или за данными, поясняет А.Дрозд. «В первом случае устройство может самопроизвольно слать SMS на заданные платные номера. Во втором сценарии разнообразней. Например, гаджет может выходить в интернет и передавать на сторону метаданные – от IMEI-номера телефона и IMSI SIM-карты до данных акселерометра или геолокации», – рассказывает эксперт. Есть и более «субъектный» вариант: ВПО работает как прокси и перенаправляет на чужие сервера все входящие сообщения, в том числе коды подтверждения двухфакторной аутентификации.

Алексей Дрозд, «СёрчИнформ»:

– Главное отличие от рядовых вредоносов – в способе доставки. Если обычно пользователь сам так или иначе подхватывает вирус, скачав зараженный файл, то «заводскому» ВПО это не нужно. Оно уже внедрено и может эффективно работать. При этом сброс до заводских настроек ВПО не удалит.

Зловред тщательно маскируют или используют уязвимости нулевого дня, чтобы его не видели антивирусные средства. Пока эта закладка «молчит», выявить ее нереально – это должна быть тщательная и скрупулезная работа специалиста по изучению скомпилированного кода, поясняет Н.Наговицын. Можно было бы посмотреть исходный код, но это коммерческая тайна компаний и его никогда никто не предоставит, отмечает эксперт.

«Также некоторое вредоносное ПО может обходить защиту, следуя простому алгоритму: при первом включении вычитать и передать на сервер данные об установленном на устройстве антивирусе», – говорит А.Дрозд. Затем получить обновление, чтобы его нейтрализовать и после этого скачивать «полезную нагрузку».

Несмотря на все сложности, пользователь вправе запросить у своего оператора связи детализацию. Плохой знак, если есть передача данных с абсолютно пустого устройства, например, кнопочного телефона без предустановленных сервисов Google, говорит представитель «СёрчИнформ».

Эффективнее «контентный» анализ трафика: куда, в каком объеме уходят данные, на какие домены. Обращать внимание стоит на любые подозрительные IP-адреса. Однако такой способ требует куда большей подготовки и квалификации. А.Дрозд констатирует, что

самый надежный способ – полное исследование прошивки устройства на программном и аппаратном уровне

Но здесь нужна экспертная оценка, простому пользователю это не под силу.

НАДЗОРНАЯ ПРОФИЛАКТИКА

А.Дрозд считает, что для предупреждения появления таких гаджетов на рынке России, хорошо сработала бы обязательная независимаяэкспертиза устройств на этапе закупки дистрибьюторами.

Например, крупная сеть электроники приобретает партию новых смартфонов (особенно у мелких производителей для продажи под собственным брендом), и берет на себя обязательства исследовать ее на закладки. Соответственно, должен быть регулятор, который будет за этим следить. Но на практике эту задачу трудно решить.

Эксперт полагает, что

любые попытки задекларировать такие процедуры будут обречены на провал

«Проверки станут формальными, потому что объемы гаджетов несравнимо больше ресурсов, которые бизнес и государство способны выделить на их контроль. В конечном счете, это приведет к удорожанию товаров при иллюзии безопасности. Разорвать этот порочный круг можно, если кто-то из сторон реально будет действовать в интересах потребителей», – признался А.Дрозд.

Н.Наговицын считает, что процесс сертификации можно усилить в части регламентации получения от производителей результатов проверки всего ПО, используемого в телефоне на предмет вредоносов. Например, исходного кода.

Изображение: RSpectr, Adobe Stock

Еще по теме

Как изменились подходы и скорость цифровизации за последние 20 лет

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы

Когда российский бизнес начнет замещать импортное ИТ-оборудование