Специалисты Федерального управления по информационной безопасности (Bundesamt für Sicherheit in der Informationstechnik) предупредили об опасном бэкдоре, встроенном в прошивку некоторых Android-устройств, продающихся в Германии.
Малварь была обнаружена в прошивках Doogee BL7000, M-Horse Pure 1, Keecoo P11, а также VKworld Mix Plus (вредонос обнаружен, но неактивен). Все четыре устройства – бюджетные смартфоны, работающие под управлением Android.
Найденный экспертами вредонос, это троян Andr/Xgen2-CY. Впервые он был замечен специалистами Sophos Labs в октябре 2018 года, — тогда исследователи обнаружили, что малварь скрывалась в приложении SoundRecorder, которое было предустановленно на смартфонах uleFone S8 Pro.
Аналитики Sophos Labs писали, что Andr/Xgen2-CY создавался специально как неудаляемый бэкдор. Изначальной задачей вредоноса была слежка за пользователем: после включения устройства Andr/Xgen2-CY активируется, собирает детали об устройстве и передает их на удаленный сервер, ожидая дальнейших инструкций. Малварь собирала следующие данные:
- номер телефона;
- информация о местоположении, включая долготу, широту и адрес;
- идентификатор IMEI и Android ID;
- разрешение экрана;
- производитель, модель, марка, версия ОС;
- информация о процессоре;
- тип сети;
- MAC-адрес;
- размер ROM и RAM;
- размер SD-карты;
- язык и страна;
- оператор мобильной связи.
После того как информация об устройстве была передана операторам малвари, те могли приказать вредоносу следующее:
- скачать и установить приложение;
- удалить приложение;
- выполнять shell-команду;
- открыть URL в браузере.
Кроме того, разработчики Andr/Xgen2-CY позаботились о скрытности: малварь маскировалась под Android-библиотеку. А теперь эксперты Федерального управления по информационной безопасности пишут, что малварь надежно закреплена в прошивке устройств, таким образом, что удаление бэкдора практически невозможно.
Исправления для своих гаджетов пока выпустил только один производитель: патч доступен лишь для смартфонов Keecoo P11.
Эксперты определили, что ежедневно к управляющим серверам Andr/Xgen2-CY обращаются как минимум 20 000 немецких IP-адресов, что позволяет составить представление о количестве зараженных устройств и людей, которые регулярно используют опасные гаджеты. При этом подчеркивается, что проблема может затрагивать и пользователей из других стран мира.
Пользователей предупредили о том, что их устройства опасны, а операторы малвари могут в любой момент использовать вредоноса для распространения банковских троянов, вымогательского или рекламного ПО, а также других угроз.
