Специалисты Федерального управления по информационной безопасности (Bundesamt für Sicherheit in der Informationstechnik) предупредили об опасном бэкдоре, встроенном в прошивку некоторых Android-устройств, продающихся в Германии.

Малварь была обнаружена в прошивках Doogee BL7000, M-Horse Pure 1, Keecoo P11, а также VKworld Mix Plus (вредонос обнаружен, но неактивен). Все четыре устройства – бюджетные смартфоны, работающие под управлением Android.

Найденный экспертами вредонос, это троян Andr/Xgen2-CY. Впервые он был замечен специалистами Sophos Labs в октябре 2018 года, — тогда исследователи обнаружили, что малварь скрывалась в приложении SoundRecorder, которое было предустановленно на смартфонах uleFone S8 Pro.

Аналитики Sophos Labs писали, что Andr/Xgen2-CY создавался специально как неудаляемый бэкдор. Изначальной задачей вредоноса была слежка за пользователем: после включения устройства Andr/Xgen2-CY активируется, собирает детали об устройстве и передает их на удаленный сервер, ожидая дальнейших инструкций. Малварь собирала следующие данные:

  • номер телефона;
  • информация о местоположении, включая долготу, широту и адрес;
  • идентификатор IMEI и Android ID;
  • разрешение экрана;
  • производитель, модель, марка, версия ОС;
  • информация о процессоре;
  • тип сети;
  • MAC-адрес;
  • размер ROM и RAM;
  • размер SD-карты;
  • язык и страна;
  • оператор мобильной связи.

После того как информация об устройстве была передана операторам малвари, те могли приказать вредоносу следующее:

  • скачать и установить приложение;
  • удалить приложение;
  • выполнять shell-команду;
  • открыть URL в браузере.

Кроме того, разработчики Andr/Xgen2-CY позаботились о скрытности: малварь маскировалась под Android-библиотеку. А теперь эксперты Федерального управления по информационной безопасности пишут, что малварь надежно закреплена в прошивке устройств, таким образом, что удаление бэкдора практически невозможно.

Исправления для своих гаджетов пока выпустил только один производитель: патч доступен лишь для смартфонов Keecoo P11.

Эксперты определили, что ежедневно к управляющим серверам Andr/Xgen2-CY обращаются как минимум 20 000 немецких IP-адресов, что позволяет составить представление о количестве зараженных устройств и людей, которые регулярно используют опасные гаджеты. При этом подчеркивается, что проблема может затрагивать и пользователей из других стран мира.

Пользователей предупредили о том, что их устройства опасны, а операторы малвари могут в любой момент использовать вредоноса для распространения банковских троянов, вымогательского или рекламного ПО, а также других угроз.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии