Сотрудник компании Kryptowire купил на отдыхе смартфон BLU R1 HD и случайно заметил, что устройство генерирует какой-то подозрительный сетевой трафик. Детальное изучение вопроса выявило, что девайс держал связь с китайскими серверами (bigdata.adups.com, bigdata.adsunflower.com, bigdata.adfuture.cn и bigdata.advmob.cn), принадлежащими компании Shanghai Adups Technology Company, более известной как Adups.

Вскоре исследователи Kryptowire поняли, что проблема не ограничивается одним устройством. Компания Shanghai Adups Technology Company разрабатывает и продает собственную систему обновления ПО FOTA (Firmware Over The Air), которую используют многие производители Android-устройств. В FOTA, по сути, встроен бэкдор, который постоянно держит связь с серверами китайской компании. Получив соответственную команду от сервера, FOTA может:

  • каждые 72 часа отправлять все SMS-сообщения с устройства на сервер Adups;
  • каждые 72 часа отправлять содержимое журнала звонков на сервер Adups;
  • собирать личные данные, позволяющие установить личность пользователя, и каждые 24 часа отправлять их на сервер Adups;
  • собирать информацию о IMSI и IMEI, геолокационные данные и список установленных приложений;
  • удалять или обновлять приложения;
  • скачивать и устанавливать новые приложения без ведома пользователя;
  • обновлять прошивку устройства;
  • удаленно выполнять произвольные команды и повышать свои привилегии на устройстве.

По данным Kryptowire вся вредоносная функциональность сконцентрирована внутри двух системных приложений, отключить или удалить которые пользователь попросту не может: com.adups.fota.sysoper и com.adups.fota.

Согласно информации, опубликованной на официальном сайте Adups, системой обновлений FOTA пользуются более 400 мобильных операторов, производителей и  так далее. Решения компании используют более 700 млн Android-устройств по всему миру. Стоит сказать, что речь идет не только о бюджетных Android- смартфонах (хотя их явно большинство), но и о других гаджетах. Какие именно компании пользуются продуктами Adups, не подозревая об их опасности, точно неизвестно, но доподлинно известно, что в их число входят Huawei и ZTE.

Представители BLU Products уже прокомментировали обнародованную исследователями Kryptowire информацию и сообщили, что они не знали о том, на что способна FOTA, и вскоре удалят опасный продукт со своих девайсов. Согласно данным издания The New York Times, проблема затрагивала 120 000 устройств, и они уже получили обновления.  

UPD
Представители Huawei связались с изданием ArsTechnica и сообщили, что «указанная компания никогда не входила в списки доверенных поставщиков, и мы никогда не вели с ней никакого бизнеса».

Представители самой Adups заявили изданию The New York Times, что информация собиралась не для правительства Китая, просто «частная компания допустила ошибку».

2 комментария

  1. User_c8ebdfb0-b510-11d0-80e5-00a0c92542e3

    17.11.2016 at 19:34

    Удалял с Samsung приложение FotaClient (судя по описанию на 4pda для обновления по воздуху)

  2. PersS

    17.12.2016 at 14:42

    Интересно… У кого был вирус, вы его через рут удаляли или откатом прошивки?

Оставить мнение

Check Also

Кардер Fly, приславший героин журналисту Брайану Кребсу, получил 41 месяц тюрьмы

Суд вынес приговор Сергею Вовненко, который в 2013 году прислал героин по почте известному…