В ноябре 2016 года специалисты компании Kryptowire случайно обнаружили, что система обновления ПО FOTA (Firmware Over The Air), то есть неудаляемое приложение com.adups.fota, которую разрабатывает китайская компания Shanghai Adups Technology Company, представляет опасность для пользователей. Как оказалось, FOTA содержит бэкдор, который постоянно сливает данные миллионов пользователей на серверы китайского производителя, отправляя на них информацию об устройстве, начиная от номеров IMSI и IMEI, и заканчивая SMS-сообщениями и журналом звонков.
Согласно информации с официального сайта, решения Adups работают на 700 млн Android-девайсов по всему миру. При этом представители Adups категорически отрицали, что бэкдор был помещен в состав FOTA намеренно, и уверяли, что слежка велась не по указанию китайских властей. Разработчики пообещали позаботиться о том, чтобы подобное не повторилось в новых версиях прошивок, однако летом 2017 года аналитики Kryptowire выступили на конференции Black Hat, где сообщили, что смартфоны с FOTA по-прежнему поставляются в магазины с предустановленной спайварью.
Теперь новый отчет о текущем положении дел представили специалисты компании Malwarebytes. По данным исследователей, новая версия com.adups.fota действительно не делает ничего дурного и более не шпионит за пользователями.
Однако, по информации Malwarebytes, теперь странной деятельностью занимаются другие компоненты Adups, которые точно так же невозможно удалить или выключить. Проблемы были обнаружены в составе com.adups.fota.sysoper и com.fw.upgrade.sysoper, которые являются частью приложения UpgradeSys (FWUpgradeProvider.apk).
На этот раз речь идет не о шпионаже и сборе пользовательских данных, но о возможности загружать и устанавливать на устройство любые приложения или обновления для приложений. Разумеется, без ведома и согласия пользователя. Хотя пока никакой подозрительной активности со стороны данного приложения замечено не было, никто не гарантирует, что в будущем Adups или кто-то иной не попытается воспользоваться UpgradeSys. Аналитики отмечают, что точное число проблемных устройств трудно определить, но такие девайсы можно приобрести у мобильных операторов во множестве стран, включая Великобританию.
Исследователи предупреждают, что абсолютно безопасного способа удаления подозрительных компонентов нет. Пользователю потребуется либо получить root-доступ к своему устройству, что категорически не рекомендуют делать многие производители мобильных устройств, либо воспользоваться специальным Windows-приложением Debloater, которое создали разработчики Malwarebytes. Приложение удалит UpgradeSys, однако оно не тестировалось со всем многообразием Android-устройств, поэтому специалисты предупреждают, что использование Debloater может спровоцировать «неожиданное поведение».
Инженеры Malwarebytes выражают надежду, что компоненты com.adups.fota.sysoper и com.fw.upgrade.sysoper были попросту забыты разработчиками Adups в ходе прошлой «чистки», и теперь производитель завершит начатое, избавив многочисленные устройства от опасной функциональности.