Мобильные устройства, произведенные рядом известных изготовителей, оказались заражены вредоносным ПО, предустановленным на них на одном из этапов цепочки поставок.

Компания Check Point Software Technologies заявила, что обнаружила 38 Android-смартфонов, инфицированных рекламным ПО, вредоносным ПО, похищающим данные пользователей, а также программами-вымогателями. Набор выявленных вредоносных программ так же разнообразен, как коллекция скомпрометированных моделей.

Исследователь Дэниэл Пейдон (Daniel Padon) рассказал, что 38 смартфонов принадлежали клиентам Check Point, работающим на неназванную крупную телекоммуникационную компанию и также неназванную международную ИТ-корпорацию. Сообщить какие-либо подробности о компаниях-жертвах Пейдон отказался.

Вредоносные программы были внедрены в устройства до того, как последние попали в руки владельцев. Также они не являлись частью оригинальной ROM-прошивки от производителей. На шести устройствах зловреды повысили привилегии до системного уровня, и для их удаления пришлось сбросить смартфон до заводских настроек.

«Нас удивило такое разнообразие моделей, это показалось очень странным, — подчеркнул Пейдон. — При таком разнообразии моделей возникает вопрос: каким образом они были отобраны для атаки и почему злоумышленники решили нацелиться на столь разные устройства».

Согласно предположениям Пейдона, устройства могли быть скомпрометированы в пункте продажи, где их купили представители обеих компаний. Все 38 устройств были очищены от вредоносного ПО, но исследователь уверен, что зараженных таким образом устройств намного больше.

Пейдон сказал, что анализ Check Point определил, когда была установлена оригинальная ROM-прошивка, а когда в нее были внедрены зловреды (это происходило за недели, месяцы, а иногда за год до того, как пользователь активировал девайс).

«Это вызывает вопрос о преднамеренной атаке, — сказал Пейдон. — Можно было ожидать, что определенный зловред будет поражать определенное устройство. Но так как мы обнаружили различные типы вредоносного ПО, возможно, кто-то просто экспериментировал, или это были не связанные между собой события. На данный момент мы можем только строить предположения».

По данным исследователей, шесть устройств были заражены троянцем Loki, распространяемым через зараженные рекламные сети уже более года. Loki способен пережить перезагрузку системы, демонстрировать навязчивую рекламу для накрутки кликов, перехватывать коммуникации и сливать данные с Android-устройств. Также некоторые скомпрометированные устройства были заражены мобильным вымогателем Slocker, шифрующим все файлы на устройстве и использующим сеть Tor для связи с C&C-сервером.

«Основная проблема состоит в том, что в данном случае нельзя недооценивать риски подобной кибератаки, — сказал Пейдон. — Если у атакующего есть доступ к устройствам до того, как они попадают к владельцам, любая компания или пользователь подвержены риску, даже если никогда не кликали на подозрительные ссылки, никогда на скачивали фишинговое приложение и никогда не открывали подозрительные файлы».

Список пораженных устройств включает в себя следующие:

  • Samsung Galaxy Note 2
  • Samsung Galaxy Note 3
  • Samsung Galaxy Note 4
  • Samsung Galaxy Note 5
  • Samsung Galaxy Note 8
  • Samsung Galaxy Note Edge
  • Samsung Galaxy S4
  • Samsung Galaxy S7
  • Samsung Galaxy A5
  • Samsung Galaxy Tab S2
  • Samsung Galaxy Tab 2
  • LG G4
  • Xiaomi Mi 4i
  • ZTE x500
  • Google Nexus 5
  • Google Nexus 5X
  • Oppo N3
  • Vivo X6 plus
  • 5 Asus Zenfone 2
  • Lenovo S90
  • OppoR7 plus
  • Xiaomi Redmi
  • Lenovo A850

По словам Пейдона, Check Point впервые анализировала кибератаку, произошедшую на уровне цепочки поставок. В ноябре прошлого года исследователи Kryptowire обнаружили, что смартфоны BLU Products R1 HD производства шанхайской компании ADUPS Technology Co. получили OTA-обновление, в которое была внедрена программа слежки и сбора информации без ведома пользователей.

Update. Авторы блог-записи Check Point пост фактум внесли исправления: зараженных устройств не 38, а 36, а Samsung Galaxy Note 8 в общем списке – разумеется, ошибка, имелся в виду планшет Galaxy Note 8.0.

Категории: вредоносные программы

Комментарии (2)

    • Maxim Zaitsev
      2

      Спасибо, Dmitry, в Check Point уже заметили эту ошибку (а мы, к сожалению, нет) и обновили запись. Сейчас внесем коррективы.

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *