Телекоммуникационные компании больше прочих страдают от предустановленных зловредов на Android-устройствах. По данным BitSight Technologies, во II квартале с атаками на цепочки поставок столкнулись порядка 28% телеоператоров. На второй строчке рейтинга оказалась сфера образования, где доля пораженных сетей превысила 5%.

За основу исследования взяты данные телеметрии по трем семействам мобильных зловердов: Triada, Ztorg и PrizeRAT. Об опасности троянской программы Triada эксперты «Лаборатории Касперского» предупреждали еще в 2016 году. Для сокрытия присутствия этот рутовальщик помещает свои модули в системные папки смартфона и удаляет их с диска после загрузки в память. Как следствие, зловред стабильно оказывается в топах мобильных угроз, пройдя эволюцию от похитителя денежных средств через платные SMS до системного бэкдора с возможностью выполнять код в контексте других приложений. В 2018-м специалисты обнаружили предустановленный экземпляр Triada на новых устройствах малоизвестных китайских производителей.

Для распространения Triada иногда используется другой рутовальщик — Ztorg, которому не раз удавалось проникнуть в Google Play. Большинство жертв Ztorg, по данным BitSight, составляют пользователи Android устаревших версий — до 5.1 включительно.

Зловред PrizeRAT, обладающий функциональностью бэкдора, был обнаружен на Android версий 7.0 и ниже. Эта вредоносная программа позволяет отслеживать расположение пользователя, похищать персональные данные, загружать дополнительное ПО. В период с апреля по июнь на долю PrizeRAT пришлось наибольшее количество заражений. Согласно статистике BitSight, этот зловред проник в сети почти 28% телеоператоров, более 5% образовательных учреждений, около 3% коммунальных служб, госструктур и торговых организаций. В то же время Triada поразил немногим более 15% представителей телекоммуникационной отрасли и незначительно затронул остальные сферы.

Растущая угроза со стороны предустановленных на Android-устройства зловредов напрямую связана с отсутствием надлежащих проверок при производстве бюджетных смартфонов. OEM-провайдеры добавляют в свои продукты программные модули сторонних поставщиков, не думая о том, что недобросовестные разработчики могут скрытно привнести в систему вредоносные компоненты, обеспечивая себе возможность контролировать пользовательские устройства и устанавливать на них новые программы.

Ранее стало известно о планах Федеральной антимонопольной службы по защите российских пользователей от неудаляемых приложений на новых устройствах. Под ограничения попадут программы, которые входят в состав операционной системы или устанавливаются производителем. Мера призвана предотвратить расширение площади атаки за счет уязвимостей в стороннем коде.

Категории: Аналитика, Вредоносные программы