The Record: Вредоносное ПО в прошивке кнопочных телефонов

Posted inPrivacy, Russian4 min read

В прошивке четырёх кнопочных телефонов, продаваемых прямо сейчас в России, найдено вредоносное ПО: телефон без вашего ведома подписывает вас на платные услуги, регистрирует вас в сторонних сервисах и отправляющее данные об устройстве на удалённые китайские серверы. Перевод заметки The Record.

В прошивке четырёх кнопочных телефонов, продаваемых прямо сейчас в России, найдено вредоносное ПО

Фрагменты вредоносного кода были найдены в прошивке четырёх дешёвых кнопочных телефонов, продаваемых прямо сейчас через российские интернет-магазины. В опубликованном на прошлой неделе отчёте говорится о нескольких моделях кнопочных телефонов: DEXP SD2810, Itel it2160, Irbis SF63 и F+ Flip 3. Предустановленный софт может подключать платные услуги по средствам SMS и перехватывать входящие SMS-сообщения, чтобы пользователь ничего не заподозрил.

Обнаружить это удалось, лишь перехватив телефонный трафик: даже если на телефоне не было интернет-браузера, при первом запуске он всё равно отправлял специальное уведомление на удалённый интернет-сервер.

По словам пользователя под ником ValdikSS, первые обнаружившего уязвимость, он успел протестировать пять старых кнопочных звонилок (обычно их принято называть «бабушкофонами»), и лишь один из проверенных телефонов (Inoi 101) не проявил признаков подозрительного поведения.

DEXP SD2810

  • Интернет-браузера нет, но телефон всё равно подключается к сети через GPRS, никак не уведомляя об этом пользователя, и отправляет данные на удалённый сервер (включая информацию о IMEI и IMSI телефона).
  • Телефон самостоятельно отправляет SMS-сообщения на платные номера и перехватывает входящие SMS с подтверждением об оплате услуги.
  • Отзывы в интернете подтверждают подобное поведение.

Itel it2160

  • Телефон отправляет на удалённый сервер уведомление о первой активации телефона (IMEI, страна, в которой находится устройство, его модель, версия прошивки, язык интефейса, время активации и идентификатор мобильной вышки).

Irbis SF63

  • В телефоне нет браузера, но он всё равно подключается к интернету и отправляет отчёт о продаже/активации.
  • Номер телефона может быть использован для регистрации в сторонних сервисах (например, в Telegram).
  • Получает и выполняет команды от удалённого сервера.

F+ Flip 3

  • Отправляет SMS-сообщения с IMEI и IMSI телефона на номера, которые прописаны в прошивке устройства.
  • Жалобы других пользователей подтверждают отправку странных SMS-сообщений.
  • ValdikSS уведомил продавца о странном поведении его устройства, но тот проигнорировал сообщение.

Удалённые серверы, с которыми пытаются связаться проверенные устройства, находятся в Китае, где эти телефоны и производятся. В основном их используют как дешёвую альтернативу всё ещё популярным телефонам Nokia.

Вредоносное поведение прописано непосредственно в прошивку устройств, но сказать, кто именно его туда добавил, сложно: это мог сделать как производитель, так и кто-то, кто отвечал за доставку устройства заказчику.

Бэкдоры и вредоносное ПО

Случившееся хоть и удивляет наглостью, но в целом довольно привычно. Вот лишь последние зафиксированные случаи:

  • Ноябрь 2016 — согласно отчётам Kriptowire и Anubis Network, две китайские компании, занимающиеся написанием прошивки для крупных китайских производителей телефонов, тайно внедрили в неё свой бэкдор.
  • Декабрь 2016 — Dr.Web обнаружил вредоносное ПО, встроенное в прошивку 26 моделей смартфонов под управлением Android.
  • Июль 2017 — банковский троян Triada найден в прошивке нескольких смартфонов на Android.
  • Март 2018 — в прошивке ещё 42 моделей Android-смартфонов Dr.Web обнаружил всё тот же троян Triada.
  • Май 2018 — исследователи из Avast обнаружили троян Cosiloon в прошивке 141 смартфона на Android.
  • Января 2019 — Unstream Systems обнаружили вредоносное ПО в приложении, предустановленном на смартфоны Alcatel.
  • Июнь 2019 — немецкое агентство по кибербезопасности BSI обнаружило бэкдор в двух низкобюджетных телефонах на Android (пострадало по меньшей мере 20 тыс. пользователей).
  • Январь 2020 — Malwarebytes обнаружили вредоносное ПО в предустановленном софте для смартфонов Unimax U673c, продаваемых компанией Assurance Wireless (Virgin Mobile) в США.

Сам ValdikSS считает, что во всём виноваты мобильные операторы и местные ритейлеры, которые продают устройства без должной проверки их безопасности. К тому же в России сейчас нет официальных органов, куда можно было бы обратиться с жалобой на подозрительное поведение устройства.

Каталин Чимпану,
The Record

5 сентября 2021 г.

Join the Conversation

Comment