38 Android-устройств заражены предустановленным зловредом

Мобильные устройства, произведенные рядом известных изготовителей, оказались заражены вредоносным ПО, предустановленным на них на одном из этапов цепочки поставок.

Компания Check Point Software Technologies заявила, что обнаружила 38 Android-смартфонов, инфицированных рекламным ПО, вредоносным ПО, похищающим данные пользователей, а также программами-вымогателями. Набор выявленных вредоносных программ так же разнообразен, как коллекция скомпрометированных моделей.

Исследователь Дэниэл Пейдон (Daniel Padon) рассказал, что 38 смартфонов принадлежали клиентам Check Point, работающим на неназванную крупную телекоммуникационную компанию и также неназванную международную ИТ-корпорацию. Сообщить какие-либо подробности о компаниях-жертвах Пейдон отказался.

Вредоносные программы были внедрены в устройства до того, как последние попали в руки владельцев. Также они не являлись частью оригинальной ROM-прошивки от производителей. На шести устройствах зловреды повысили привилегии до системного уровня, и для их удаления пришлось сбросить смартфон до заводских настроек.

«Нас удивило такое разнообразие моделей, это показалось очень странным, — подчеркнул Пейдон. — При таком разнообразии моделей возникает вопрос: каким образом они были отобраны для атаки и почему злоумышленники решили нацелиться на столь разные устройства».

Согласно предположениям Пейдона, устройства могли быть скомпрометированы в пункте продажи, где их купили представители обеих компаний. Все 38 устройств были очищены от вредоносного ПО, но исследователь уверен, что зараженных таким образом устройств намного больше.

Пейдон сказал, что анализ Check Point определил, когда была установлена оригинальная ROM-прошивка, а когда в нее были внедрены зловреды (это происходило за недели, месяцы, а иногда за год до того, как пользователь активировал девайс).

«Это вызывает вопрос о преднамеренной атаке, — сказал Пейдон. — Можно было ожидать, что определенный зловред будет поражать определенное устройство. Но так как мы обнаружили различные типы вредоносного ПО, возможно, кто-то просто экспериментировал, или это были не связанные между собой события. На данный момент мы можем только строить предположения».

По данным исследователей, шесть устройств были заражены троянцем Loki, распространяемым через зараженные рекламные сети уже более года. Loki способен пережить перезагрузку системы, демонстрировать навязчивую рекламу для накрутки кликов, перехватывать коммуникации и сливать данные с Android-устройств. Также некоторые скомпрометированные устройства были заражены мобильным вымогателем Slocker, шифрующим все файлы на устройстве и использующим сеть Tor для связи с C&C-сервером.

«Основная проблема состоит в том, что в данном случае нельзя недооценивать риски подобной кибератаки, — сказал Пейдон. — Если у атакующего есть доступ к устройствам до того, как они попадают к владельцам, любая компания или пользователь подвержены риску, даже если никогда не кликали на подозрительные ссылки, никогда на скачивали фишинговое приложение и никогда не открывали подозрительные файлы».