В некоторых моделях смартфонов Alcatel нашли малварь

Специалисты британской ИБ-компании Upstream обратили внимание на подозрительный трафик, исходящий со смартфонов некоторых клиентов. Проведенное расследование выявило, что дело в приложении Weather Forecast-World Weather Accurate Radar, созданном китайской TLC Corporation, которой принадлежат такие бренды, как Alcatel, BlackBerry и Palm.

Данное приложение с прогнозом погоды предустановленно на смартфонах Alcatel «из коробки» (в частности на моделях Pixi 4 и A3 Max), а также было доступно другим пользователям Android через каталог Google Play, причем число его загрузок превышало 5 000 000.

Изначально эксперты обнаружили, что приложение собирает данные о пользователях (email-адреса, коды IMEI, данные о геолокации) и передает их в Китай. Потом выяснилось, что этим дело не ограничивается, и скрытый в приложении вредоносный код действует иначе в некоторых регионах. Так, приложение пыталось тайно подписать пользователей на различные платные сервисы, о чем сообщали пользователи в Бразилии, Нигерии, Малайзии, Кувейте, Южной Африке, Египте и Тунисе.

Исследователи пишут, что только за период с июля по август 2018 года было зафиксировано и  блокировано более 2,5 млн попыток осуществления транзакций с устройств Alcatel в Бразилии. На неназванный платный сервис пытались подписаться с 128 845 уникальных мобильных номеров. В Кувейте за тот же период времени было обнаружено и блокировано 78 940 транзакций.

В общей сложности специалисты Upstream зафиксировали и блокировали более 27 000 000 попыток подписаться на платные сервисы, что в общей сложности могло бы обойтись пострадавшим в 1 500 000 долларов США.

Кроме того, Weather Forecast-World Weather Accurate Radar демонстрировало и другое вредоносное поведение: приложение действовало как adware, в фоновом режиме открывало скрытые окна браузера и загружало различные веб-страницы, на которых скликивало рекламные объявления. Эта скрытая активность генерировала 50-250 Мб трафика ежедневно, что тоже могло негативно отразиться за кошельках владельцев зараженных устройств.

В настоящее время специалисты Google уже исключили опасное приложение из Google Play. Судя по всему, источником заражения стал один из разработчиков TLC Corporation, чья система была скомпрометирована, и в результате малварь проникла в код приложения. В данный момент компанией TCL проводится тщательная проверка.

Мария Нефёдова :Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (4)

  • BlackBerry выпускает вроде TCL. Интересно, BlackBerry не заразили?

    • Китай только собирает физически телефон Blackberry, как и ряд других телефонов. А вот операцинку ставят уже исследованную в стенах Канады.

  • Месяца 3 назад заметил что у меня трафика много пропало буквально за пару дней. Посмотрел в "использовании данных" так у меня это приложение съело 1.05Гб за 3-4 дня...

    Нашел скриншот https://vk.cc/8V4GlG