Специалисты Федерального управления по информационной безопасности Германии (BSI) сообщили о вредоносных программах, обнаруженных в прошивке четырех моделей смартфонов, продаваемых в стране. Это Android-устройства Doogee BL7000, M-Horse Pure 1, Keecoo P11 и VKworld Mix Plus.

Прошивка телефонов содержит троянский бэкдор Andr/Xgen2-CY. Программа запускается при включении телефона, собирает сведения о зараженном устройстве, соединяется с центром управления и ожидает дальнейших инструкций.

Представители BSI заявили, что удалить вредоносный компонент вручную невозможно, поскольку он привязан к внутренней области прошивки. Чтобы избавиться от трояна, нужно установить новую прошивку, но безопасные обновления доступны только для одной из четырех моделей — Keecoo P11.

По данным Sophos, Andr/Xgen2-CY собирает следующие данные:

  • номер телефона;
  • информация о местоположении;
  • идентификатор IMEI и идентификатор Android;
  • разрешение экрана;
  • производитель, модель, марка, версия ОС;
  • информация о процессоре;
  • тип сети;
  • MAC-адрес;
  • объем оперативной и постоянной памяти;
  • объем SD-карты;
  • используемый язык;
  • оператор мобильной связи.

После того как данные попадут на C&C-сервер, злоумышленники присвоят устройству уникальный профиль и смогут:

  • скачивать, устанавливать и удалять приложения;
  • выполнять команды оболочки;
  • открывать страницы в браузере.

Эксперты предполагают, что многие владельцы все еще пользуются зараженными телефонами. Ежедневно более 20 тысяч немецких IP-адресов обращаются к командным серверам Andr/Xgen2-CY.4874.

Преступники нередко пытаются внедрить вредоносное ПО в IT-инфраструктуру финансовых учреждений. В июле прошлого года ПИР-Банк потерял 58 млн рублей из-за бэкдора группировки Carbanak, через который злоумышленники проникли в систему. Этой весной исследователям удалось изучить код зловреда и разобраться в его особенностях.

В марте 2019-го была обнаружена атака, направленная на слежку за корпоративными пользователями. Преступники внедряли в пользовательские системы бэкдор Slub, который извлекал команды из GitHub и отправлял их в закрытый канал в Slack. Преступники получали данные о коммуникациях пользователей в мессенджерах, на интернет-серверах и их файлы из Hangul и Skype.

Категории: Аналитика, Вредоносные программы