Мо­биль­ники на Android обыч­но про­дают­ся с кучей пре­дус­танов­ленно­го соф­та: мес­сен­дже­ров, кли­ентов соци­аль­ных сетей, игр, а порой даже тро­янов. Наши кол­леги из ком­пании Trend Micro про­вели боль­шое иссле­дова­ние ряда слу­чаев рас­простра­нения вре­донос­ных прог­рамм в завод­ских про­шив­ках смар­тфо­нов и подели­лись пред­варитель­ными ито­гами с нами. В этой статье я под­робно рас­ска­жу о резуль­татах иссле­дова­ния — они очень инте­рес­ны.

Для начала нес­коль­ко слов о том, как тро­яны вооб­ще попада­ют в про­шив­ку мобиль­ных устрой­ств. Этот канал рас­простра­нения вре­донос­ного ПО носит наз­вание supply chain attack, то есть «ата­ка в про­цес­се про­изводс­тва». В раз­личных источни­ках выс­казыва­лось мно­жес­тво пред­положе­ний о том, какое имен­но зве­но раз­работ­ки Android-девай­сов мож­но условно наз­вать «зло­умыш­ленни­ком», одна­ко для понима­ния источни­ка проб­лемы нуж­но вспом­нить исто­рию эво­люции сов­ремен­ных китай­ских смар­тфо­нов.

 

За Великой стеной

При­мер­но в 2010 году в Китае нес­коль­ко ком­паний, круп­ней­шей из которых явля­ется MediaTek, налади­ли серий­ный выпуск «сис­тем на чипе» (SoC), пред­став­лявших собой фак­тичес­ки готовую осно­ву для смар­тфо­на на Android. Разуме­ется, на рын­ке тут же появи­лось огромное количес­тво малень­ких заводов (кон­цен­три­рующих­ся в основном в «элек­трон­ной сто­лице» Китая — Шэнь­чжэ­не), которые ста­ли кле­пать на базе SoC собс­твен­ные модели смар­тфо­нов. Рынок быс­тро заполо­нили «полуфаб­рикаты» тру­бок, то есть пол­ностью ком­плектные телефо­ны, толь­ко без про­шив­ки — их покупа­ли дру­гие китай­ские ком­пании, спе­циали­зиру­ющиеся на импорте элек­тро­ники и ее про­даже на мар­кет­плей­сах.

Ес­ли есть «хард», будет и «софт». На поток «смар­тфон­ного сырья» китай­ский рынок отре­аги­ровал появ­лени­ем тысяч кон­тор, под заказ выпус­кающих про­шив­ки для таких телефо­нов. Подоб­ные фир­мы в Китае называ­ются 刷機 (шуац­зи), и это отдель­ный, очень емкий сек­тор биз­неса. Шуац­зи соз­дают про­шив­ки с раз­ным набором соф­та, с раз­ными лаун­черами и про­чими «нес­кучны­ми обо­ями» для раз­ных катего­рий заказ­чиков — магази­нов, опто­виков, инос­тран­ных кон­тор, которые про­дают такие телефо­ны под сво­им лей­блом. Порой доходи­ло до того, что по пути от завода до конеч­ного поль­зовате­ля смар­тфон менял про­шив­ку нес­коль­ко раз.

Нес­мотря на высокий спрос, кон­курен­ция на этом рын­ке тоже была очень высокой. Раз­работ­чикам и «про­шиваль­щикам» при­ходи­лось дем­пинго­вать. Что­бы хоть как‑то оку­пить зат­раты на соз­дание про­шивок и нем­ного под­зарабо­тать, шуац­зи при­дума­ли аль­тер­натив­ный канал монети­зации: они ста­ли брать с про­изво­дите­лей соф­та комис­сию за пре­дус­танов­ку при­ложе­ний на смар­тфо­ны — сто­имость такой услу­ги сос­тавля­ет в сред­нем от 5 до 10 юаней за каж­дую инстал­ляцию прог­раммы на кли­ент­ском устрой­стве.

Сле­дующий шаг был впол­не оче­виден: если добавить в про­шив­ку смар­тфо­на при­ложе­ние‑заг­рузчик, который смо­жет ска­чивать и уста­нав­ливать на телефон дру­гие прог­раммы по коман­де с управля­юще­го сер­вера, то на этом мож­но зарабо­тать еще боль­ше. Вок­руг ком­паний‑шуац­зи ста­ли соз­давать­ся отдель­ные агентства, спе­циали­зиру­ющиеся на про­даже мобиль­ной рек­ламы, услуг по мас­совой пре­дус­танов­ке и заг­рузке соф­та. В погоне за допол­нитель­ной при­былью в про­шив­ку некото­рых телефо­нов «с завода» добав­ляли при­ложе­ния с рек­ламной «пар­тнер­кой».

info

При­ложе­ния, вхо­дящие в сос­тав про­шив­ки мобиль­ного телефо­на на Android, по умол­чанию име­ют высокий при­ори­тет выпол­нения, дос­туп к при­ему и отправ­ке SMS, адресной кни­ге поль­зовате­ля, получа­ют воз­можность заг­ружать и уста­нав­ливать дру­гие прог­раммы, вли­ять на про­цесс заг­рузки девай­са. Уда­лить такие при­ложе­ния невоз­можно, если поль­зователь не обла­дает на устрой­стве пра­вами root.

В пос­ледние годы этот рынок стал чуть более цивили­зован­ным: зна­читель­ную его долю теперь занима­ют раз­работ­чики OEM-девай­сов на про­изводс­твен­ных мощ­ностях в Шэнь­чжэ­не, а так­же ком­пании, пред­лага­ющие так называ­емый white labeling — выпуск тиража мобиль­ных телефо­нов одной из сущес­тву­ющих китай­ских моделей, но под тор­говой мар­кой заказ­чика.

Всем этим устрой­ствам так­же нуж­ны про­шив­ки, локали­зация, лаун­черы и механиз­мы обновле­ния «по воз­духу». При этом китай­ские про­изво­дите­ли и сбор­щики железа не раз­рабаты­вают про­шив­ки сами, а делеги­руют эти задачи на суб­подряд тем самым шуац­зи. Что суб­подряд­чик добавит в про­шив­ку оче­ред­ного девай­са, порой извес­тно толь­ко ему самому. Так на «Али­экс­прес­се» и в роз­нице вре­мя от вре­мени появ­ляют­ся смар­тфо­ны «с сюр­при­зами».

По­рой, помимо заг­рузчи­ков и рек­ламной мишуры, в про­шив­ку попада­ет и кое‑что посерь­езнее: при­ложе­ния для перех­вата кон­фиден­циаль­ных дан­ных и для уда­лен­ного управле­ния смар­тфо­ном. Некото­рые инфи­циро­ван­ные устрой­ства (китай­цы называ­ют их 肉雞 — «брой­лер») спо­соб­ны объ­еди­нять­ся в бот­неты, которые зло­умыш­ленни­ки исполь­зуют, нап­ример, для DDoS-атак.

Дру­гие спо­собы монети­зации — авто­мати­чес­кая нак­рутка счет­чиков на сай­тах, «скли­кива­ние» рек­ламы, под­писка або­нен­та на плат­ные сер­висы и даже получе­ние скрин­шотов или фотог­рафий вла­дель­ца девай­са с целью даль­нейше­го вымога­тель­ства.

По­мимо это­го, дан­ные об инфи­циро­ван­ных телефо­нах про­дают­ся на китай­ских форумах прак­тичес­ки в откры­тую: прог­раммы для обна­руже­ния под­клю­чен­ных к интерне­ту прот­роянен­ных смар­тфо­нов и уда­лен­ного управле­ния ими сто­ят поряд­ка 300 юаней. Это тоже очень раз­витый биз­нес: кро­ме покуп­ки подоб­ных прог­рамм, про­дажи заг­рузок при­ложе­ний и арен­ды C&C-сер­веров для собс­твен­ных бот­нетов, на китай­ских форумах активно рек­ламиру­ются услу­ги по обу­чению всех жела­ющих «хакерс­тву», под которым понима­ется в основном мас­совое исполь­зование чужих мобиль­ных устрой­ств с тро­яна­ми в про­шив­ках.

Та­ких скрип­ткид­ди в Китае называ­ют «сяобай» (小白), что мож­но перевес­ти как «нуб» или «чай­ник». Обу­чение сяобаев осно­вам исполь­зования готово­го ПО для взло­ма смар­тфо­нов — зна­читель­ный источник дохода для зав­сегда­таев подоб­ных «под­поль­ных» пло­щадок.

www

Под­робнее о «брой­лерах» и «сяобаях» — в статье hkcd.com (ма­шин­ный перевод с китай­ско­го).

Иног­да заражен­ные телефо­ны попол­няют базы сер­висов для при­ема и отправ­ки SMS (для регис­тра­ции на сай­тах с обя­затель­ным под­твержде­нием номера або­нен­та). При этом вла­делец китай­ско­го аппа­рата даже не подоз­рева­ет о том, что его номер кто‑то вти­харя сда­ет в арен­ду. С помощью подоб­ных сер­висов, дей­ству­ющих не толь­ко в Китае, но и по все­му миру, мож­но орга­низо­вать мас­совую регис­тра­цию «одно­разо­вых» акка­унтов. Эта услу­га активно исполь­зует­ся в широко рас­простра­нен­ной мошен­ничес­кой схе­ме, которую в Под­небес­ной называ­ют 薅羊毛 («стриж­ка шер­сти»). Зак­люча­ется она в сле­дующем.

В Чай­нете очень популяр­на схе­ма рас­крут­ки онлай­новых сер­висов, ког­да каж­дому новому поль­зовате­лю при регис­тра­ции начис­ляют опре­делен­ное количес­тво бонус­ных бал­лов на неболь­шую сум­му. Бал­лы мож­но пот­ратить, нап­ример, для покуп­ки товаров на «Таобао». При этом в слу­чае опла­ты бонус­ными бал­лами иног­да мож­но получить еще и допол­нитель­ную скид­ку на товар. С помощью сер­виса под­твержде­ния по SMS жулики регис­три­руют кучу новых акка­унтов, а потом про­дают всем жела­ющим накоп­ленные бонус­ные бал­лы по сни­жен­ному кур­су.

Так, в 2018 году китай­ское под­разде­ление Starbucks запус­тило про­моак­цию: каж­дому зарегис­три­ровав­шемуся поль­зовате­лю мобиль­ного при­ложе­ния пред­лагали купон на бес­плат­ную пор­цию кофе сто­имостью око­ло 30 юаней (352 руб­ля по текуще­му кур­су). В пер­вый же день с помощью плат­форм для мас­совой регис­тра­ции акка­унтов китай­цы соз­дали более 400 тысяч фей­ковых уче­ток, что­бы получить халяв­ный кофе. Убыт­ки Starbucks нес­ложно под­счи­тать.

По­доб­ную схе­му фро­да начали рас­сле­довать наши кол­леги из ком­пании Trend Micro, одна­ко проб­лема ока­залась нам­ного глуб­же, чем пред­став­лялось сна­чала.

 

SMS PVA

Ре­гис­тра­ция под­твержден­ных по SMS учет­ных записей носит наиме­нова­ние phone-verified account (PVA). Если рань­ше сер­висы SMS PVA исполь­зовали воз­можнос­ти IP-телефо­нии и SMS-шлю­зы, то теперь про­цесс при­ема и переда­чи сооб­щений скрыт за кулиса­ми: под­твержда­ющие SMS-коды переда­ются сер­вису через API. Ана­лити­ки Trend Micro уста­нови­ли, что как минимум одна из таких служб работа­ла поверх бот­нета, вклю­чающе­го тысячи заражен­ных смар­тфо­нов на Android.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    11 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии