В прошивке четырёх кнопочных телефонов, продаваемых прямо сейчас в России, найдено вредоносное ПО: телефон без вашего ведома подписывает вас на платные услуги, регистрирует вас в сторонних сервисах и отправляющее данные об устройстве на удалённые китайские серверы. Перевод заметки The Record.
В прошивке четырёх кнопочных телефонов, продаваемых прямо сейчас в России, найдено вредоносное ПО
Фрагменты вредоносного кода были найдены в прошивке четырёх дешёвых кнопочных телефонов, продаваемых прямо сейчас через российские интернет-магазины. В опубликованном на прошлой неделе отчёте говорится о нескольких моделях кнопочных телефонов: DEXP SD2810, Itel it2160, Irbis SF63 и F+ Flip 3. Предустановленный софт может подключать платные услуги по средствам SMS и перехватывать входящие SMS-сообщения, чтобы пользователь ничего не заподозрил.
Обнаружить это удалось, лишь перехватив телефонный трафик: даже если на телефоне не было интернет-браузера, при первом запуске он всё равно отправлял специальное уведомление на удалённый интернет-сервер.
По словам пользователя под ником ValdikSS, первые обнаружившего уязвимость, он успел протестировать пять старых кнопочных звонилок (обычно их принято называть «бабушкофонами»), и лишь один из проверенных телефонов (Inoi 101) не проявил признаков подозрительного поведения.
DEXP SD2810
- Интернет-браузера нет, но телефон всё равно подключается к сети через GPRS, никак не уведомляя об этом пользователя, и отправляет данные на удалённый сервер (включая информацию о IMEI и IMSI телефона).
- Телефон самостоятельно отправляет SMS-сообщения на платные номера и перехватывает входящие SMS с подтверждением об оплате услуги.
- Отзывы в интернете подтверждают подобное поведение.
Itel it2160
- Телефон отправляет на удалённый сервер уведомление о первой активации телефона (IMEI, страна, в которой находится устройство, его модель, версия прошивки, язык интефейса, время активации и идентификатор мобильной вышки).
Irbis SF63
- В телефоне нет браузера, но он всё равно подключается к интернету и отправляет отчёт о продаже/активации.
- Номер телефона может быть использован для регистрации в сторонних сервисах (например, в Telegram).
- Получает и выполняет команды от удалённого сервера.
F+ Flip 3
- Отправляет SMS-сообщения с IMEI и IMSI телефона на номера, которые прописаны в прошивке устройства.
- Жалобы других пользователей подтверждают отправку странных SMS-сообщений.
- ValdikSS уведомил продавца о странном поведении его устройства, но тот проигнорировал сообщение.
Удалённые серверы, с которыми пытаются связаться проверенные устройства, находятся в Китае, где эти телефоны и производятся. В основном их используют как дешёвую альтернативу всё ещё популярным телефонам Nokia.
Вредоносное поведение прописано непосредственно в прошивку устройств, но сказать, кто именно его туда добавил, сложно: это мог сделать как производитель, так и кто-то, кто отвечал за доставку устройства заказчику.
Бэкдоры и вредоносное ПО
Случившееся хоть и удивляет наглостью, но в целом довольно привычно. Вот лишь последние зафиксированные случаи:
- Ноябрь 2016 — согласно отчётам Kriptowire и Anubis Network, две китайские компании, занимающиеся написанием прошивки для крупных китайских производителей телефонов, тайно внедрили в неё свой бэкдор.
- Декабрь 2016 — Dr.Web обнаружил вредоносное ПО, встроенное в прошивку 26 моделей смартфонов под управлением Android.
- Июль 2017 — банковский троян Triada найден в прошивке нескольких смартфонов на Android.
- Март 2018 — в прошивке ещё 42 моделей Android-смартфонов Dr.Web обнаружил всё тот же троян Triada.
- Май 2018 — исследователи из Avast обнаружили троян Cosiloon в прошивке 141 смартфона на Android.
- Января 2019 — Unstream Systems обнаружили вредоносное ПО в приложении, предустановленном на смартфоны Alcatel.
- Июнь 2019 — немецкое агентство по кибербезопасности BSI обнаружило бэкдор в двух низкобюджетных телефонах на Android (пострадало по меньшей мере 20 тыс. пользователей).
- Январь 2020 — Malwarebytes обнаружили вредоносное ПО в предустановленном софте для смартфонов Unimax U673c, продаваемых компанией Assurance Wireless (Virgin Mobile) в США.
Сам ValdikSS считает, что во всём виноваты мобильные операторы и местные ритейлеры, которые продают устройства без должной проверки их безопасности. К тому же в России сейчас нет официальных органов, куда можно было бы обратиться с жалобой на подозрительное поведение устройства.
https://habr.com/ru/post/575626/ Оригинальный пост от ValdikSS