В смартфонах LG, Xiaomi, Samsung и Lenovo нашли таинственно предустановленные трояны

Безопасность Стратегия безопасности Техника
мобильная версия
, Текст: Роман Георгиев
Антивирусная компания Check Point обнаружила почти в четырех десятках смартфонов различных производителей вредоносные компоненты, установленные еще до продажи. Трояны отсутствовали в официальных прошивках производителей и, видимо, были добавлены где-то на более позднем этапе логистической цепочки.

Где-то ниже по течению

Исследователи компании Check Point выявили ряд случаев, когда вредоносный софт предустанавливался на смартфоны различных производителей.

В 38 устройствах на базе Android были выявлены компоненты, демонстрирующие нежелательную рекламу, и минимум в одном случае - мобильный шифровальщик. Все проанализированные устройства использовались сотрудниками двух крупных ИТ-корпораций.

Как отмечается в публикации Check Point, само по себе наличие вредоносного софта на мобильных устройствах не является чем-то необычным и неожиданным. Нынешнему случаю особый интерес придает то, что вредоносное ПО попало на устройства еще до их приобретения конечными пользователями. В официальных прошивках производителей вредоносного ПО нет.

Это означает, что кто-то «подсаживал» вредоносы на промежуточном этапе между поставщиком и конечными пользователями.

«Вредоносные приложения отсутствовали на официальных ROM производителей; их добавили где-то на более позднем этапе логистической цепочки, - говорится в публикации Check Point. - В шести случаях они были добавлены злоумышленниками в прошивку устройств с использованием системных привилегий, что означает, что пользователь не сможет их удалить иначе как путем полной перепрошивки устройства».

Где-то между заводом и магазином Android-смартфоны известных производителей заражались вредоносным ПО

Среди «предустановленных» зловредов наиболее выдающимися оказались мобильный шифровальщик Slocker, а также многофункциональный зловред Loki, который навязчиво демонстрирует непрошенную рекламу, а также крадет личные данные с устройства. Несколько других зловредов, выявленных Check Point, также занимались кражей данных.

В публикации не объясняется, каким именно образом трояны могли попасть в прошивки смартфонов и каким образом злоумышленники могли получить системные привилегии для установки вредоносных компонентов.

Пострадавшие модели

В числе 38 таинственно зараженных устройств есть два смартфона ASUS, 10 смартфонов Samsung, два Lenovo, LG, два Oppo, две модели Xiaomi, Vivo и ZTE.

Характерно, что все зараженные устройства относятся к среднему и высшему ценовому диапазону.

Адресная атака? – Вряд ли

В публикации Check Point ничего не говорится о том, являются ли эти заражения - попытками проведения адресных атак на пострадавшие компании, или же преступники заражали устройства в случайном порядке.

Есть, впрочем, одна любопытная деталь: большая часть устройств, перечисленных в публикации Check Point, была выпущена в 2014-2015 г.г., но есть и довольно старая модель - ZTE x500, выпуск которой состоялся в 2011 году. Такой временной разброс может указывать на то, что никакой целенаправленной кампании злоумышленники не вели.

«Эксперты по безопасности много лет твердят, что пользователям мобильных устройств следует устанавливать приложения только из проверенных источников, таких как официальные магазины - Google Play, Apple App Store и т.д. - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Однако если вредоносное ПО оказывается предустановленным, под угрозой оказываются даже те пользователи, которые с крайней щепетильностью относятся к своей безопасности».

Как указывает Гвоздев, работники, ответственные за информационную безопасность в компании, должны иметь возможность проводить полную проверку защищенности каждого нового смартфона или планшета, подключающегося к внутренней корпоративной сети.

- Пользователь может понять, что с его устройством что-то не так, если зловред постоянно демонстрирует ему рекламу. Однако если в прошивку на низком уровне вписан, например, кросс-платформенный шифровальщик, то обнаружить угрозу он сможет лишь после того, как инцидент уже произойдет, - добавил Гвоздев.