Вредоносная программа найдена в прошивках 141 модели бюджетных смартфонов под управлением Android. Исследователи обнаружили, что установленная на новые устройства операционная система содержит опасное ПО с root-привилегиями. По мнению экспертов, стоящие за атакой преступники около двух лет успешно заражают телефоны разных производителей.

Впервые о кампании, нацеленной на недорогие модели смартфонов, стало известно в декабре 2016 года. Специалисты выяснили, что неизвестный злоумышленник сумел внедриться в цепочку поставок 26 моделей телефонов и планшетов на базе Android. Эксперты предполагали, что после оглашения результатов исследования киберпреступники уйдут в тень, однако новые данные указывают, что они увеличили масштабы своей деятельности.

Аналитики выяснили, что это же вредоносное ПО теперь присутствует в более чем 140 Android-устройствах различных производителей. В список скомпрометированного оборудования вошли преимущественно недорогие телефоны малоизвестных брендов, однако там можно найти несколько моделей известной марки ZTE, а также продававшийся в России планшет Beeline Tab Fast.

После добавления в прошивку устройства зловред связывается с командным сервером, загружает на смартфон XML-документ и устанавливает одно или несколько приложений из содержащегося в нем списка. Программа работает из папки System и обладает root-правами, поэтому действует незаметно для пользователя.

В большинстве случаев непрошеные гости не причиняют ущерб устройству, а лишь открывают окна с рекламой. Вредоносная программа останавливает свою работу лишь в том случае, если в смартфоне используется китайский язык, его IP принадлежит к китайскому пространству адресов, а количество установленных пользователем приложений не превышает трех.

Эксперты заявляют, что сервер преступной группировки, названной ими Cosiloon, также находится на территории Китая. 10 апреля специалистам удалось ненадолго вывести из строя C&C-платформу злоумышленников, но поскольку регистратор отказался снять делегирование их домена, киберпреступники сменили хостинг и снова доступны онлайн.

Пока неизвестно, каким образом Cosiloon получает доступ к системному ПО разных устройств. Единственное, что объединяет скомпрометированные смартфоны — процессор MediaTek. Однако если бы злоумышленники имели доступ к прошивке производителя, то заразили бы все устройства на базе этой микросхемы. Скорее всего, киберпреступники пользуются временными брешами в защите и активизируются лишь на ограниченные периоды времени.

Китайские смартфоны уже подвергались атакам на цепочки поставок. В прошлом году ИБ-эксперты выяснили, что 38 Android-устройств из Поднебесной попадали на прилавки магазинов с уже установленным зловредом. Ранее стало известно о проблемах с недорогим телефоном Coolpad, производитель которого самостоятельно внедрял в свою прошивку бэкдор.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры