12/05/23
Специалисты из ИБ-компании Trend Micro обнаружили, что миллионы Android-устройств по всему миру заражаются вредоносным ПО ещё до того, как они отправляются поставщикам с завода. Об этом эксперты рассказали на конференции Black Hat Asia.
Под угрозой оказались в основном бюджетные Android-смартфоны, а также умные часы, телевизоры и другие гаджеты. Их производство было передано OEM-производителям, которые могут внедрять зловреды на любом этапе сборки устройств – например, при установке прошивки. Об этом пишет Securitylab.
По словам исследователей, такая практика существует уже давно и представляет «растущую проблему для обычных пользователей и предприятий».
Заражение прошивок началось с того, что цена на них резко упала. Конкуренция между поставщиками прошивок стала такой жестокой, что они перестали брать деньги за свой продукт.
В Trend Micro объяснили, что в результате этой ситуации прошивки стали поставляться с нежелательной особенностью – скрытыми плагинами. Команда проанализировала десятки образов прошивок в поисках вредоносного ПО. Они нашли более 80 разных плагинов, хотя многие из них не были широко распространены.
Самые опасные плагины были те, которые имели свою бизнес-модель, продавались в даркнете и рекламировались открыто на Facebook*, блогах и YouTube. Зловреды превращают устройства в прокси, которые используются для перехвата SMS-сообщений, захвата аккаунтов в соцсетях и мессенджерах, а также для монетизации через рекламу и имитацию кликов.
Один из типов плагинов, прокси-плагины, позволяют преступникам арендовать устройства на срок до 5 минут за раз. Например, те, кто арендует контроль над устройством, могут получить доступ к данным о нажатиях клавиш, местоположении, IP-адресе и другой информации.
По словам экспертов, пользователь прокси сможет использовать чужой телефон в течение 1200 секунд как выходной узел. Кроме того, команда Trend Micro нашла плагин для cookie-файлов Facebook, который использовался для сбора активности из приложения Facebook.
По данным телеметрии, по крайней мере миллионы заражённых устройств существуют по всему миру, но они сосредоточены в Юго-Восточной Азии и Восточной Европе. Статистика, которую сами преступники сообщили исследователям, говорила о 8,9 млн. устройств.
Что касается источника угрозы, то эксперты не назвали конкретных стран, хотя слово «Китай» несколько раз прозвучало в их презентации, в том числе в истории происхождения подозрительной прошивки. В Trend Micro заявили, что аудитория должна подумать, где находится большинство OEM-производителей в мире и сделать свои выводы.
«Хотя мы возможно знаем людей, которые создают инфраструктуру для этого бизнеса, трудно точно определить, как именно эта инфекция попадает в смартфон, потому что мы не знаем наверняка, на каком моменте она попала в цепочку поставок», – сказали исследователи.
Вредоносное ПО было обнаружено в телефонах не менее 10 производителей, но, возможно, около 40 других компаний также затронуты. Чтобы не приобрести уже заражённый телефон, следует выбирать более дорогие модели. Другими словами, вредоносная прошивка содержится в смартфонах дешёвого сегмента Android-экосистемы, поэтому стоит выбирать более крупные бренды, хотя это не гарантирует полную безопасность.
Эксперты заявили, что крупные бренды типа Samsung или Google хорошо заботятся о безопасности своей цепочки поставок, но для злоумышленников это все еще очень прибыльный рынок.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
