Аналитики компании Trend Micro представили интересный доклад на конференции Black Hat Asia. По их информации, миллионы Android-устройств по всему миру заражаются вредоносным ПО еще не покинув завод, на котором их произвели. В основном речь идет о дешевых мобильных телефонах на Android, однако похожая ситуация наблюдается со смарт-часами, телевизорами и так далее.
По словам исследователей, производство гаджетов в основном передано на аутсорсинг OEM-производителям, и такой аутсорсинг позволяет различным сторонам, участвующим в производственном процессе (например, поставщикам прошивок), заражать продукты малварью еще на этапе производства.
Стоит сказать, что об этой проблеме известно давно. К примеру, еще в 2017 году эксперты Check Point предупреждали, что 38 различных моделей смартфонов известных брендов, включая Samsung, LG, Xiaomi, Asus, Nexus, Oppo и Lenovo, содержат вредоносное ПО прямо «из коробки». Теперь же представители Trend Micro охарактеризовали происходящее как «растущую проблему для обычных пользователей и предприятий».
Старший научный сотрудник Trend Micro Федор Ярочкин и его коллега Чжэнью Донг рассказали, что внедрение малвари на столь ранних этапах началось с того, что цены на прошивки для мобильных устройств упали. Конкуренция между распространителями прошивок стала настолько серьезной, что в итоге они вообще лишились возможности брать деньги за свой продукт.
Ярочкин отмечает, что ничего бесплатного, конечно, не бывает, и в результате в прошивках стали появляться «тихие» плагины. Исследователи говорят, что изучили десятки образов прошивок в поисках вредоносного ПО и нашли более 80 таких плагинов, хотя многие из них и не получали широкого распространения.
Как правило, цель такого вредоносного ПО — похищение информации, а также заработок на собранной или переданной информации. По сути, малварь превращает зараженные устройства в прокси-серверы, которые используются для кражи и продажи SMS-сообщений, используется для захвата аккаунтов в социальных сетях и мессенджерах, а также для монетизации с помощью рекламы и кликфрода.
Например, команда обнаружила плагин Facebook* cookie, который использовался для сбора информации об активности из приложения Facebook*.
Другой вид плагинов, прокси-плагины, позволяет преступникам сдавать зараженные устройства в аренду на срок до 5 минут. В итоге те, кто арендует доступ к устройству, могут перехватить данные о нажатиях клавиш, географическом положении жертвы, IP-адресе и многом другом.
«Пользователь такого прокси сможет использовать чужой телефон в течение 1200 секунд в качестве выходного узла», — рассказывает Ярочкин.
Исследователи подсчитали, что миллионы зараженных таким образом устройств работают во всем мире, но лидируют по заражениям Юго-Восточная Азия и Восточная Европа. По словам экспертов, статистика, которую озвучивают сами преступники, говорит о примерно 8,9 млн зараженных девайсов.
О том, откуда исходят такие угрозы, исследователи говорят уклончиво, хотя слово «Китай» звучало во время доклада часто, в том числе, когда речь шла о разработке подозрительных прошивок. Ярочкин говорит, что публике стоит самой подумать о том, где находятся большинство мировых OEM-производителей, и сделать собственные выводы.
«Даже если мы, вероятно, знаем людей, которые создают инфраструктуру для этого бизнеса, трудно определить, как именно инфекция попадает на конкретный мобильный телефон, потому что нам неизвестно наверняка, в какой момент она проникает в цепочку поставок», — объяснил эксперт.
Исследователи говорят, что в целом малварь была обнаружена на устройствах как минимум 10 неназванных поставщиков и, вероятно, затронула еще около 40.
По словам экспертов, чтобы избежать покупки зараженных «из коробки» мобильных телефонов, пользователи могут выбирать устройства более высокого класса. Иными словами, вредоносную прошивку чаще можно обнаружить на более дешевых устройствах в экосистеме Android, и лучше придерживаться крупных брендов, хотя и это не является гарантией безопасности.
«Крупные бренды, такие как Samsung, Google, относительно хорошо заботятся о безопасности своей цепочки поставок, но это по-прежнему прибыльный рынок для злоумышленников», — резюмирует Ярочкин.
* Принадлежит компании Meta, чья деятельность признанна экстремисткой и запрещена в России.