Китайские смартфоны продаются с предустановленным шпионским ПО?

Как считают специалисты компании g data, среди дистрибьюторов в индустрии китайских мобильных телефонов нашлись посредники, которые предпочли предустанавливать на смартфоны вредоносное программное обеспечение, не дожидаясь, пока пользователи сделают это сами.

Согласно опубликованному недавно (в 2015 году, прим. переводчика) докладу о мобильных вредоносных программах от исследователей g data, в прошивке устройств поставляемых комплектов более 26 марок смартфонов были обнаружены предварительно установленное вредоносное программное обеспечение.

Ранее в текущем (2015) году специалистами этой же компании уже было обнаружено наряду с другими потенциально опасными программами наличие рекламного по на китайских android устройствах. Теперь же они говорят, что приложения мониторинга (другими словами шпионские программы) для сбора данных без ведома владельца смартфона, наряду с другими вредоносными программами становится проблемой для некоторых китайских телефонов.

Вредоносное ПО часто скрывается в законных приложениях, "притворяясь" дополнением к основным функциям, и может работать в фоновом режиме, не вызывая подозрения пользователя.

Тот факт, что мобильные устройства поставляются с уже установленным вредоносным по, ни для кого не новость, и тем более для автора,  который  около восьми лет назад  "влип в историю", связанную с разоблачением портативных навигаторов tomtom go 910, приходивших с "букетом троянов" прямо в заводской упаковке.

В то время создавалось впечатление (которое на самом деле никогда не подтверждалось), что вредоносное по, скорее всего, вводилось через процесс обеспечения качества не без "посильного участия" иронии судьбы - случайные блоки снимают с конвейера и подключают к зараженному компьютеру для тестирования. Это было то, что можно было назвать случайным заражением.

По мнению исследователей g data, вряд ли можно было в какой-либо мере считать случайностью вредоносное по, которое они обнаружили предустановленным, по крайней мере, у 26 смартфонов от различных производителей, включая huawei, xiaomi и lenovo.

Однако это отнюдь не означает, что специалисты фирмы компьютерной безопасности думают, что производители причастны к этому преступлению. На самом деле g data считает, что это лежит на совести "посредников" в дистрибьюторской сети, которые рассчитывают увеличить свои доходы за счет "дополнительных финансовых выгод от украденных данных пользователя и настойчивой рекламы".

При этом эксперты компании g data признают, что не всегда можно с уверенностью определить, является ли что-то вредоносной программой или нет, поскольку законные приложения часто просят разрешения, которые выходят за рамки принятой, обычной активности продукта. По этой причине подозрительным программам часто просто присваивают статус  потенциально нежелательных (pup). Тем не менее, исследователи также отмечают, что мониторинг предварительно установленных вредоносных программ, которые могут скрыть себя, избегая всякого вмешательства владельца устройства в процесс их инсталляции, - это совсем другое дело.

Среди обнаруженных сотрудниками g data шпионского по, которое по умолчанию уже подготовлено к использованию для "нечистоплотных" целей, была программа, маскирующаяся под приложение google drive, но на самом деле идентифицированная экспертами, как android.monitor.gsyn.b.

Эта программа не обладает иными функциональными возможностями, кроме способности контролировать и похищать обширный диапазон данных без ведома и согласия пользователя. Специалисты уверены, что такое приложение может прослушивать телефонные разговоры, воровать контакты, запрашивать данные о местоположении, записывать звук с микрофона, отключить антивирусный софт и считывать историю браузера устройства. Полный набор весьма полезных средств и ресурсов для потенциального похитителя данных.

Были еще вредоносные программы, которые, скрываясь в совершенно законных приложениях, содержали вредоносный код в качестве дополнения наряду с ожидаемыми функциями. Чаще всего они будут спокойно работать в фоновом режиме, не вызывая у пользователя никаких подозрений.

Одной из жертв "коварных злоумышленников" стало приложение facebook, подвергшись заражению вредоносной программой android.trojan.andup.d, которая могла натворить почти столько же "злодеяний", сколько совершила шпионская программа в предыдущем примере наряду с отправкой премиум-sms для получения прибыли и возможности для совершения банковских махинаций.

Так насколько же большой проблемой является внедрение вредоносного по через цепочку поставок конкретно на рынке смартфонов и в рамках аппаратного обеспечения it в целом?

Обращаясь непосредственно к scmagazineuk.com, старший аналитик компании malwarebytes Крис Бойд (Chris Boyd) заявил, что еще очень мало поступает сообщений о появлении вредоносных программ, предустановленных на мобильных телефонах, и самая серьезная угроза всегда будет исходить от устройств, купленных на рынках и в сомнительных торговых точках, особенно таких, где продавцу доступно распакованное устройство. 

"Кроме того", добавил он, "поддельные телефоны также будут подвергаться риску установления на них несанкционированных программ, так что стоит покупать у проверенных продавцов или у самих производителей телефона".

"Несмотря на то, что слишком мало случаев, когда удается обнаружить сколько-нибудь реальную картину в благополучных с виду вредоносных программах", продолжал утверждать бойд, "все, что обладает способностью отправлять премиум sms, устанавливать дополнительные приложения или прослушивать звонки, может представлять серьезную угрозу для вашей личной жизни и безопасности в целом".

Старший научный сотрудник компании damballa, Лусиф Харуни (Loucif Kharouni), являясь специалистом по борьбе с  кибер-угрозами, не слишком обеспокоен тем, что это дело связано с каким-нибудь грандиозным криминальным бизнесом. "Создаётся впечатление", сказал он, "что это дело рук некоторых групп, которым случалось получить доступ к устройствам в каком-то звене цепочки", добавив, что пока нет никаких доказательств участия организованных преступных группировок. "Тем не менее,  мы не верим, что это разовая работа каких-то проходимцев", заявил Харуни.

В то же время Саймон Маллис ( Simon Mullis), технический директор компании fireeye, считает очень показательным тот факт, что такое вообще могло произойти, не исключая, что это могло быть "результатом преднамеренных действий со стороны производителя или попустительства, открывающего третьим сторонам доступ к системам через отказ или отсутствие процесса".

Маллис предупреждает, что обоснованное подозрение на то, что злоумышленникам  удалось включить себя в цепочку поставок между производителем и конечным потребителем "предполагает достаточно высокую степень совершенства их деятельности".

Независимо от того, насколько рациональны их поиски простых способов получения дохода, ничего не указывает, на что они рассчитывают в будущем. "Вы не можете оценить риск на основе своих соображений о мотивах злоумышленников через неделю", объясняет он, добавляя: "конечно же, как  мы постоянно наблюдаем, это обычное дело для искушенных злоумышленников использовать любые уловки, чтобы скрывать атрибуции".

Джим Блэк (Jim Black), руководитель по управлению продуктами компании bloxx, задается вопросом, "насколько вероятна организация получения доступа к модификации предустановленных приложений самими сотрудниками, которые могли быть добровольными или невольными участниками"?

Если они добровольные участники, то они могли бы действовать одиночку, или, что более вероятно, в сотрудничестве с организованными преступными группировками, которые могли  платить им за компрометацию приложений, или насильно принуждать к этому.

По словам профессора Стивена Фернела (Steven Furnell), старшего сотрудника ieee, растет озабоченность, выражаемая по поводу преднамеренного вклинивание в цепочку поставок наиболее вероятной мотивацией, связанной с кражей данных.

В конкретном случае со смартфонами, можно было бы надеяться на возможность снижения риска, воспользовавшись результатами исследований самой компании data g, то есть, убедившись, что устанавливается соответствующее решение безопасности для сканирования устройства" сказал профессор.

"Несмотря на то, что можно было бы справедливо надеяться, что такое сканирование будет проводиться уже на стадии завершения производства изделий, если остается вероятность последующего фиктивного вмешательства в цепочку поставок, то пользователь может по-прежнему остаться подверженным риску. К сожалению, как считают, судя по своим наблюдениям, исследователи data g, если вредоносный код внедрен в прошивку, то пользователи могут уже с самого начала почувствовать, что они у него на крючке".

Источник: http://www.scmagazine.com/chinese-android-smartphones-now-shipping-with-pre-installed-malware/article/436655/