Для начала несколько слов о том, как трояны вообще попадают в прошивку мобильных устройств. Этот канал распространения вредоносного ПО носит название supply chain attack, то есть «атака в процессе производства». В различных источниках высказывалось множество предположений о том, какое именно звено разработки Android-девайсов можно условно назвать «злоумышленником», однако для понимания источника проблемы нужно вспомнить историю эволюции современных китайских смартфонов.
За Великой стеной
Примерно в 2010 году в Китае несколько компаний, крупнейшей из которых является MediaTek, наладили серийный выпуск «систем на чипе» (SoC), представлявших собой фактически готовую основу для смартфона на Android. Разумеется, на рынке тут же появилось огромное количество маленьких заводов (концентрирующихся в основном в «электронной столице» Китая — Шэньчжэне), которые стали клепать на базе SoC собственные модели смартфонов. Рынок быстро заполонили «полуфабрикаты» трубок, то есть полностью комплектные телефоны, только без прошивки — их покупали другие китайские компании, специализирующиеся на импорте электроники и ее продаже на маркетплейсах.
Если есть «хард», будет и «софт». На поток «смартфонного сырья» китайский рынок отреагировал появлением тысяч контор, под заказ выпускающих прошивки для таких телефонов. Подобные фирмы в Китае называются 刷機 (шуацзи), и это отдельный, очень емкий сектор бизнеса. Шуацзи создают прошивки с разным набором софта, с разными лаунчерами и прочими «нескучными обоями» для разных категорий заказчиков — магазинов, оптовиков, иностранных контор, которые продают такие телефоны под своим лейблом. Порой доходило до того, что по пути от завода до конечного пользователя смартфон менял прошивку несколько раз.
Несмотря на высокий спрос, конкуренция на этом рынке тоже была очень высокой. Разработчикам и «прошивальщикам» приходилось демпинговать. Чтобы хоть как‑то окупить затраты на создание прошивок и немного подзаработать, шуацзи придумали альтернативный канал монетизации: они стали брать с производителей софта комиссию за предустановку приложений на смартфоны — стоимость такой услуги составляет в среднем от 5 до 10 юаней за каждую инсталляцию программы на клиентском устройстве.
Следующий шаг был вполне очевиден: если добавить в прошивку смартфона приложение‑загрузчик, который сможет скачивать и устанавливать на телефон другие программы по команде с управляющего сервера, то на этом можно заработать еще больше. Вокруг компаний‑шуацзи стали создаваться отдельные агентства, специализирующиеся на продаже мобильной рекламы, услуг по массовой предустановке и загрузке софта. В погоне за дополнительной прибылью в прошивку некоторых телефонов «с завода» добавляли приложения с рекламной «партнеркой».
info
Приложения, входящие в состав прошивки мобильного телефона на Android, по умолчанию имеют высокий приоритет выполнения, доступ к приему и отправке SMS, адресной книге пользователя, получают возможность загружать и устанавливать другие программы, влиять на процесс загрузки девайса. Удалить такие приложения невозможно, если пользователь не обладает на устройстве правами root.
В последние годы этот рынок стал чуть более цивилизованным: значительную его долю теперь занимают разработчики OEM-девайсов на производственных мощностях в Шэньчжэне, а также компании, предлагающие так называемый white labeling — выпуск тиража мобильных телефонов одной из существующих китайских моделей, но под торговой маркой заказчика.
Всем этим устройствам также нужны прошивки, локализация, лаунчеры и механизмы обновления «по воздуху». При этом китайские производители и сборщики железа не разрабатывают прошивки сами, а делегируют эти задачи на субподряд тем самым шуацзи. Что субподрядчик добавит в прошивку очередного девайса, порой известно только ему самому. Так на «Алиэкспрессе» и в рознице время от времени появляются смартфоны «с сюрпризами».
Порой, помимо загрузчиков и рекламной мишуры, в прошивку попадает и кое‑что посерьезнее: приложения для перехвата конфиденциальных данных и для удаленного управления смартфоном. Некоторые инфицированные устройства (китайцы называют их 肉雞 — «бройлер») способны объединяться в ботнеты, которые злоумышленники используют, например, для DDoS-атак.
Другие способы монетизации — автоматическая накрутка счетчиков на сайтах, «скликивание» рекламы, подписка абонента на платные сервисы и даже получение скриншотов или фотографий владельца девайса с целью дальнейшего вымогательства.
Помимо этого, данные об инфицированных телефонах продаются на китайских форумах практически в открытую: программы для обнаружения подключенных к интернету протрояненных смартфонов и удаленного управления ими стоят порядка 300 юаней. Это тоже очень развитый бизнес: кроме покупки подобных программ, продажи загрузок приложений и аренды C&C-серверов для собственных ботнетов, на китайских форумах активно рекламируются услуги по обучению всех желающих «хакерству», под которым понимается в основном массовое использование чужих мобильных устройств с троянами в прошивках.
Таких скрипткидди в Китае называют «сяобай» (小白), что можно перевести как «нуб» или «чайник». Обучение сяобаев основам использования готового ПО для взлома смартфонов — значительный источник дохода для завсегдатаев подобных «подпольных» площадок.
www
Подробнее о «бройлерах» и «сяобаях» — в статье hkcd.com (машинный перевод с китайского).
Иногда зараженные телефоны пополняют базы сервисов для приема и отправки SMS (для регистрации на сайтах с обязательным подтверждением номера абонента). При этом владелец китайского аппарата даже не подозревает о том, что его номер кто‑то втихаря сдает в аренду. С помощью подобных сервисов, действующих не только в Китае, но и по всему миру, можно организовать массовую регистрацию «одноразовых» аккаунтов. Эта услуга активно используется в широко распространенной мошеннической схеме, которую в Поднебесной называют 薅羊毛 («стрижка шерсти»). Заключается она в следующем.
В Чайнете очень популярна схема раскрутки онлайновых сервисов, когда каждому новому пользователю при регистрации начисляют определенное количество бонусных баллов на небольшую сумму. Баллы можно потратить, например, для покупки товаров на «Таобао». При этом в случае оплаты бонусными баллами иногда можно получить еще и дополнительную скидку на товар. С помощью сервиса подтверждения по SMS жулики регистрируют кучу новых аккаунтов, а потом продают всем желающим накопленные бонусные баллы по сниженному курсу.
Так, в 2018 году китайское подразделение Starbucks запустило промоакцию: каждому зарегистрировавшемуся пользователю мобильного приложения предлагали купон на бесплатную порцию кофе стоимостью около 30 юаней (352 рубля по текущему курсу). В первый же день с помощью платформ для массовой регистрации аккаунтов китайцы создали более 400 тысяч фейковых учеток, чтобы получить халявный кофе. Убытки Starbucks несложно подсчитать.
Подобную схему фрода начали расследовать наши коллеги из компании Trend Micro, однако проблема оказалась намного глубже, чем представлялось сначала.
SMS PVA
Регистрация подтвержденных по SMS учетных записей носит наименование phone-verified account (PVA). Если раньше сервисы SMS PVA использовали возможности IP-телефонии и SMS-шлюзы, то теперь процесс приема и передачи сообщений скрыт за кулисами: подтверждающие SMS-коды передаются сервису через API. Аналитики Trend Micro установили, что как минимум одна из таких служб работала поверх ботнета, включающего тысячи зараженных смартфонов на Android.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»