«Коммерсант» сообщает, что специалист обнаружил бэкдор в телефонах Digma (принадлежит российской дистрибуторской компании «Мерлион»). Он позволяет управлять телефоном удаленно, в том числе рассылать SMS-сообщения и принимать их, передавать данные на сторонние серверы, регистрировать на номер телефона жертвы аккаунты в мессенджерах и так далее.
Ссылаясь на неназванный «источник в отрасли кибербезопасности», который столкнулся с проблемой, журналисты пишут, через месяц после покупки кнопочного телефона Digma и подключения новой SIM-карты на этот номер, без ведома пользователя, был зарегистрирован аккаунт в WhatsApp.
«Анализ прошивки гаджета показал наличие заражения. Вредоносные функции внедрены для того, чтобы использовать номер телефона владельца»,— считает собеседник издания.
По словам неназванного специалиста, телефон с определенной периодичностью обращается к удаленному серверу, передавая такие данные, как IMEI-идентификатор, идентификатор SIM-карты и оператора связи. Сервер в ответ отправляет устройству команду: отправить SMS с заданным текстом на конкретный номер, вывести полученное сообщение на экран. При этом отправленные и принятые сообщения не сохраняются в памяти телефона.
В ответ на обращения пользователя специалисты Digma ответили, что отмечают «аномалии» в работе прошивки устройства, однако наличие уязвимости не подтвердили.
Стоит отметить, что еще в 2021 году ИБ-специалист, известный под ником ValdikSS, посвятил проблеме троянов и бэкдоров в простейших кнопочных телефонах большую статью. Тогда он рассказывал, что в российской рознице встречаются устройства «со встроенным трояном, отправляющим платные SMS-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие SMS-сообщения на сервер злоумышленников».
Теперь, после выхода публикации в «Коммерсанте», ValdikSS сообщил, что речь идет о модели Digma A172, которую он изучает уже несколько месяцев. Ниже приводим его комментарий полностью.
«Бэкдор хороший: когда с сервера приходит команда на отправку СМС (или когда получена входящая СМС при установленном фильтре), визуально нет никакой индикации о каком-либо событии, предусмотрели даже скрытие иконки выхода в интернет ("G" у силы сети).
Данные шифруются RC5 с динамическим ключом, для обмена используется BSON.
На первых этапах функции СМС используются для того, чтобы узнать номер владельца: одному телефону, номер которого уже известен, сервер устанавливает фильтр входящих сообщений, а второму дает команду на отправку СМС на номер первого. Первый телефон пересылает номер и текст полученного СМС на сервер. В тексте содержится уникальный идентификатор, позволяющий связать номер телефона с другими известными идентификаторами телефона.
Впоследствии вредонос может использоваться для регистрации аккаунтов в мессенджерах и на сервисах, требующих подтверждения по СМС, но происходит это не сразу — активность телефона отслеживается по времени с момента его включена, количеству принятых СМС и другим параметрам, чтобы затруднить обнаружение бэкдора.
Я позвонил по одному из номеров, который сервер сообщил для отправки СМС — женщина на том конце подтвердила, что получила от меня СМС "с какими-то цифрами" и уточнила, что ранее SIM стояла в кнопочном телефоне, а сейчас установлена в смартфон.
Digma только что, после статьи в "Коммерсанте", закрыла тикет с формулировкой "Так, закрыли обсуждение". До этого они утверждали, что интернет используется для обновления доступности и цен сервиса подписок Funbox, несмотря на то, что в более свежей прошивке, на телефон с которой зарегистрировали WhatsApp, его нет», — пишет исследователь.
Издание CNews приводит комментарий представителей Digma, который в компании дали после выхода публикаций в СМИ:
«В кнопочных телефонах Digma отсутствует функционал, который можно классифицировать как backdoor или встроенную уязвимость. В прошивку встроен функционал от стороннего российского сервиса, целью которого является обмен SMS-сообщениями фиксированного формата для персонализации доступных развлекательных и информационных сервисов в конкретном регионе – гороскопы, погода, анекдоты и т.д. Обмен сообщениями такого типа является полностью бесплатным для пользователей. Подключение платных услуг ведется только с явного согласия пользователя. Любой иной функционал, включая якобы скрытую регистрацию пользователей в мессенджерах, в устройствах Digma отсутствует. Наши маркетинговые исследования показывают, что вышеуказанный развлекательный функционал является наиболее востребованным среди пользователей кнопочных телефонов, таким образом, основным нашим намерением встраивания данного функционала в прошивку является улучшение клиентского опыта. Изъятие телефонов из продажи мы не планируем, так как не видим оснований для этого. Мы запланируем внеочередное независимое тестирование наших устройств на предмет поиска уязвимостей в прошивке кнопочных телефонов у крупных независимых компаний и опубликуем результаты», — заявили в компании.
Напомним, что это далеко не первый раз, когда в прошивках бюджетных устройств обнаруживают бэкдоры и малварь. К примеру, в прошлом году специалисты Trend Micro предупреждали, что зачастую дешевые мобильные устройства на Android, включая телефоны, смарт-часы, телевизоры и другие девайсы заражаются вредоносным ПО, даже не успев покинуть завод, на котором их произвели.