Сотрудник компании Kryptowire купил на отдыхе смартфон BLU R1 HD и случайно заметил, что устройство генерирует какой-то подозрительный сетевой трафик. Детальное изучение вопроса выявило, что девайс держал связь с китайскими серверами (bigdata.adups.com, bigdata.adsunflower.com, bigdata.adfuture.cn и bigdata.advmob.cn), принадлежащими компании Shanghai Adups Technology Company, более известной как Adups.

Вскоре исследователи Kryptowire поняли, что проблема не ограничивается одним устройством. Компания Shanghai Adups Technology Company разрабатывает и продает собственную систему обновления ПО FOTA (Firmware Over The Air), которую используют многие производители Android-устройств. В FOTA, по сути, встроен бэкдор, который постоянно держит связь с серверами китайской компании. Получив соответственную команду от сервера, FOTA может:

  • каждые 72 часа отправлять все SMS-сообщения с устройства на сервер Adups;
  • каждые 72 часа отправлять содержимое журнала звонков на сервер Adups;
  • собирать личные данные, позволяющие установить личность пользователя, и каждые 24 часа отправлять их на сервер Adups;
  • собирать информацию о IMSI и IMEI, геолокационные данные и список установленных приложений;
  • удалять или обновлять приложения;
  • скачивать и устанавливать новые приложения без ведома пользователя;
  • обновлять прошивку устройства;
  • удаленно выполнять произвольные команды и повышать свои привилегии на устройстве.

По данным Kryptowire вся вредоносная функциональность сконцентрирована внутри двух системных приложений, отключить или удалить которые пользователь попросту не может: com.adups.fota.sysoper и com.adups.fota.

Согласно информации, опубликованной на официальном сайте Adups, системой обновлений FOTA пользуются более 400 мобильных операторов, производителей и  так далее. Решения компании используют более 700 млн Android-устройств по всему миру. Стоит сказать, что речь идет не только о бюджетных Android- смартфонах (хотя их явно большинство), но и о других гаджетах. Какие именно компании пользуются продуктами Adups, не подозревая об их опасности, точно неизвестно, но доподлинно известно, что в их число входят Huawei и ZTE.

Представители BLU Products уже прокомментировали обнародованную исследователями Kryptowire информацию и сообщили, что они не знали о том, на что способна FOTA, и вскоре удалят опасный продукт со своих девайсов. Согласно данным издания The New York Times, проблема затрагивала 120 000 устройств, и они уже получили обновления.  

UPD
Представители Huawei связались с изданием ArsTechnica и сообщили, что «указанная компания никогда не входила в списки доверенных поставщиков, и мы никогда не вели с ней никакого бизнеса».

Представители самой Adups заявили изданию The New York Times, что информация собиралась не для правительства Китая, просто «частная компания допустила ошибку».

2 комментария

  1. User_c8ebdfb0-b510-11d0-80e5-00a0c92542e3

    17.11.2016 at 19:34

    Удалял с Samsung приложение FotaClient (судя по описанию на 4pda для обновления по воздуху)

  2. PersS

    17.12.2016 at 14:42

    Интересно… У кого был вирус, вы его через рут удаляли или откатом прошивки?

Оставить мнение

Check Also

В Google Play нашли 87 вредоносных модов для Minecraft

Почти миллион человек загрузил из каталога Google Play малварь, замаскированную под моды д…