В популярном в Китае и Тайване Android-смартфоне, также доступном на международном рынке, предустановлен бэкдор, используемый для принудительного показа рекламы и установки приложений без согласия пользователя.

Как сообщают исследователи из Palo Alto Networks, устройства под брендом Coolpad подвержены серьезным проблемам, особенно после того, как была обнаружена уязвимость в интерфейсе управления бэкдором.

Райан Олсон (Ryan Olson), директор по исследованиям угроз в Palo Alto, отметил, что бэкдор, обнаруженный в Coolpad, не только устанавливает связь с несколькими C&C-серверами, но и способен загружать, устанавливать и запускать любые Android-приложения без ведома пользователя. Также он отправляет на устройство фейковые программные обновления, которые на самом деле служат для установки сторонних приложений без согласия пользователя. Бэкдор умеет набирать телефонные номера, отправлять SMS- и MMS-сообщения и отсылать информацию об устройстве и статистику его использования в командный центр Coolpad.

Модифицируя сборку Android, производитель также предпринял шаги для маскировки бэкдора и сокрытия его деятельности от пользователей и антивирусных программ. Например, Олсон рассказал, что Coolpad отключил возможность вызова через нажатие и удержание справки о том, какое из приложений вызывает всплывающую рекламу.

«Так как эти возможности очень глубоко интегрированы в операционную систему, этот бэкдор способен на многое, а не только на вызов назойливой рекламы, — считает Олсон. — Через бэкдор можно установить любое приложение без ведома пользователя и посылать push-сообщения на экран».

Вполне очевидно, производитель гнался за дополнительными источниками прибыли через продажу рекламы, уверены исследователи: большинство пользователей, обсуждающих устройства на форумах, жалуются на одну и ту же проблему — всплывающие сообщения и нежелательную рекламу.

«У всех бэкдоров есть общая черта, — заявил Олсон. — Когда вы создаете бэкдор, ваши намерения могут быть вполне благими. Но любой бэкдор может использоваться аутсайдером с целью установки собственных приложений без согласия пользователя».

Coolpad — один из трех крупнейших производителей смартфонов в Китае и шестой в мире по доле рынка. В Китае он уступает только Lenovo и Xiaomi и является лидером по продажам 4G-смартфонов в Китае с долей рынка 16%. У себя на родине Coolpad по продажам уже обходит Samsung и Apple. Производитель имеет амбициозные планы насчет мирового рынка: объемы глобальных продаж устройств Coolpad должны, согласно намерениям компании, превысить 60 млн единиц. На настоящий момент бэкдор установлен только на смартфонах премиальной линейки Halo Dazen, сообщают в Palo Alto.

Эксперты проанализировали 77 ROM Android-устройств Coolpad, и 64 из них содержали бэкдор CoolReaper; на 41 из инфицированных устройств были предустановлены ROM-файлы для восьми моделей Dazen, а 23 ROM-файла были предназначены для остальных 16 моделей Coolpad. 41 заводской ROM-файл имеет легитимный цифровой сертификат, принадлежащий Coolpad; домены C&C-серверов coolyun[.]com и 51Coolpad[.]com зарегистрированы на компанию Coolpad и используются для хостинга облачных сервисов производителя.

Так как компания имеет далекоидущие планы на продажу своих устройств в США, Европе и Юго-Восточной Азии, появление информации о CoolReaper означает опасность повсеместной эксплуатации бэкдора.

«Мы никогда не видели таких возможностей у бэкдоров, установленных на этапе производства, — пишет Олсон. — По своим возможностям CoolReaper даже обошел Carrier IQ, который регистрировал нажатия клавиш, а также скрыто собирал информацию об устройстве и его использовании». По словам эксперта, CoolReaper — это намного больше, чем просто клавиатурный шпион. Этот бэкдор устанавливает приложения без спроса пользователя и использует активную тактику обхода детектирования операционной системой или антивирусными программами.

Олсон отметил, что в основном, по сведениям пользователей, нежелательные приложения являются играми. Это свидетельствует о том, что Coolpad, возможно, ищет новые источники доходов, чтобы увеличить выручку от продажи относительно дешевых андроидофонов.

Хотя посылать push-уведомления и нежелательные рекламные сообщения на смартфон — это само по себе нехорошо, дело может принять очень серьезный оборот. Поскольку в интерфейсе бэкдора выявлена уязвимость, после ее публикации злоумышленники смогут использовать бэкдор для атак.

Об уязвимости в интерфейсе управления бэкдора сообщили 19 ноября на сайте WooYun.org — в аналогичном Bugcrowd онлайн-сообществе, посвященном поиску и анализу багов. «Белому хакеру» удалось войти в платформу управления разрешениями, через которую он смог кроме прочего послать push-приложения вместе с обновлениями ОС, а также скрытно установить и активировать APK-файлы. В тот же день Coolpad подтвердил наличие уязвимости и присвоил ей наивысший уровень критичности, пообещав выпустить патч в ближайшее время. По сведениям Palo Alto, факт выпуска патча пока подтвердить не удалось.

«Уязвимость открывает удаленный доступ к устройству прямо из Интернета; пользователю при этом не нужно проходить надлежащую аутентификацию, — говорит Олсон. — Вы можете установить что угодно через бэкдор, не имеющий никакой защиты от несанкционированного доступа».

В одном из китайских СМИ, посвященных технологиям, представитель пресс-службы Coolpad утверждает, что данный бэкдор используется только для внутреннего тестирования. Однако при обновлении версии 2.x на 3.0 имя APK-файла бэкдора просто изменилось с CP_DMP.apk на GoogleGmsFramework.apk, чтобы скрыть его от пользователей, уже осведомленных о его существовании, предполагают в Palo Alto.

«Тот факт, что уязвимость в интерфейсе управления CoolReaper можно использовать для вредоносных операций, подчеркивает риски установки таких бэкдоров на этапе производства, — написано в официальном отчете Palo Alto. — Даже если эту уязвимость залатают, могут найтись новые, которые позволят злоумышленникам получить контроль над огромным количеством устройств Coolpad».

Категории: Вредоносные программы, Уязвимости