В начале текущего года специалисты компании Malwarebytes рассказывали, что обнаружили предустановленную малварь в бюджетных смартфонах производства Unimax.

Тогда вредоносы были найдены в двух приложениях, предустановленных на устройствах Unimax (UMX) U686CL, которые предлагаются американцам с низким уровнем доходов по специальной программе Lifeline, субсидируемой правительством (стоят такие смартфоны всего 35 долларов). Такие Android-девайсы производятся в Китае и продаются компанией Assurance Wireless, поставщиком услуг сотовой связи, входящим в группу Virgin Mobile.

Так, один из компонентов устройства, приложение Wireless Update, содержал малварь Adups. Другой подозрительный код нашли в приложении Settings. По словам исследователей, приложение было заражено некой разновидностью сильно обфусцированной малвари, предположительно китайского происхождения. Судя по всему, это был дроппер известного рекламного вредоноса HiddenAds.

В январе подчеркивалось, что оба вредоносных приложения невозможно удалить. Хотя пользователи могли избавиться от приложения Wireless Update, из-за этого телефон переставал обновляться и пропускал критические обновления безопасности для своей прошивки.

Теперь специалисты Malwarebytes обнаружили еще один бюджетный телефон с аналогичными проблемами безопасности — это ANS (American Network Solutions) UL40, работающий под управлением Android 7.1.1.  Дело в том, что после публикации январского отчета многие пользователи сообщили исследователям, что с их устройствами ANS тоже что-то не так.

Аналитики сумели достать модель ANS UL40 для проведения тестов и убедились, что пользователи были правы. В настоящее время неясно, продает ли компания Assurance Wireless эти устройства до сих пор, но приобрести проблемные смартфоны можно в других интернет-магазинах и на торговых площадках.

Как и в случае UMX U686CL, на смартфоне ANS UL40 были найдены два скомпрометированных приложения: Wireless Update и Settings. Но оказалось, что в данном случае эти приложения заражены другой малварью.

Так, в приложении Settings был обнаружен троян Downloader Wotby, способный загружать на устройство жертвы дополнительные приложения извне. При этом исследователи не обнаружили каких-либо доказательств присутствия вредоносных приложений в стороннем магазине, связанном с этим ПО, но это еще не означает, что таковые не могли появиться позднее.

В свою очередь, Wireless Update был отмечен исследователями как потенциально нежелательная программа (Potentially Unwanted Program, PUP), которая также способна автоматически устанавливать дополнительные приложения без разрешения или ведома пользователя. Так, приложение тайно устанавливало как минимум четыре разных варианта рекламной малвари HiddenAds на устройства жертв.

Дальнейшие исследования показали, что модель ANS L51 тоже поставлялась с предустановленным вредоносным ПО, причем малвар была такая же, как в UMX U683CL.

Так как заражение на устройствах UMX и ANS различается, исследователи попытались выяснить, что же связывает эти бренды. Общим знаменателем оказалось использование цифрового сертификата, используемого для подписи приложения ANS Settings. Данный сертификат удалось проследить до компании TeleEpoch Ltd, которая зарегистрирована в Соединенных Штатах как UMX.

«Мы имеем приложение Settings на ANS UL40 с цифровым сертификатом, подписанным компанией, которая является зарегистрированным брендом UMX, — рассказывают специалисты. —  То есть существует два разных приложения Settings, с двумя разными вариантами малвари, для двух разных моделей смартфонов от двух разных производителей, и, судя по всему, все это связано с TeleEpoch Ltd. Кроме того, на данный момент только два бренда распространяли предустановленное вредоносное ПО в приложении Settings через программу Lifeline Assistance. Это ANS и UMX».

Тем не менее, до сих пор неясно, виноваты ли в происходящем производители, или малварь проникла на устройства из-за компрометации цепочки поставок.

В январе 2020 года, вскоре после публикации отчета Malwarebytes, разработчики UMX благополучно избавились от малвари на своих устройствах. Теперь исследователи пишут, что ANS, скорее всего, очень быстро найдет решение проблемы и поступит аналогичным образом.

«При выборе бюджетного мобильного устройства неизбежны компромиссы. Некоторые вполне очевидные компромиссы — это производительность, время работы батареи, размер хранилища, качество экрана и многое другое, благодаря чему мобильное устройство не так сильно бьет по кошельку. Однако бюджетность ни в коем случае не должна означать компрометацию безопасности [пользователя ] предустановленной малварью. И точка», — резюмируют эксперты.

Оставить мнение