Пользователи мобильных устройств стали массово жаловаться на работу смартфона Tecno W2. Устройство стало показывать рекламные объявления поверх окон приложений, включая мессенджеры, и даже во время голосовых вызовов. Помимо этого, владельцы девайсов отметили пропажу денег с их мобильных счетов и несанкционированное подключение платных услуг. Больше всего жалоб поступало из Ганы, Египта, Камеруна, Индонезии, Мьянмы и Эфиопии.
Специалисты из компании Upstream провели анализ устройств Tecno W2, и выяснили, что проблемы связаны с прошивкой смартфона. Как оказалось, телефон поставляется со встроенными вредоносами xHelper и Triada, загружающими сторонние приложения в фоновом режиме. Удалить встроенные xHelper и Triada нельзя, поскольку они являются частью прошивки.
На сегодняшний день было зафиксировано в общей сложности 19,2 млн подозрительных транзакций, в рамках которых вредоносы тайно подписывали пользователей более чем 200 тыс. устройств на платные услуги.
Вредоносное ПО Triada действует как программный бэкдор и загрузчик вредоносных программ. Оно устанавливает троян xHelper на взломанные устройства, способный сохраняться при перезагрузках, удалении приложений и даже при сбросе до заводских настроек. Компоненты xHelper могут делать запросы для поиска платных услуг и отправлять мошеннические запросы на подписку от имени ничего не подозревающего владельца телефона. Эти запросы выполняются автоматически, не требуют разрешения, и осуществляются в тайне от жертвы.
В Transsion осведомлены о сложившейся ситуации. По словам представителя компании, смартфоны не производятся с предустановленным вредосным ПО – мошеннические приложения появляются из-за «неустановленного производителя в цепи поставок компонентов».
Transsion выпустила патчи, блокирующие Triada и xHelper на смартфонах Tecno W2 в марте 2018 года и в конце 2019 года соответственно.