Специалисты Федерального управления по информационной безопасности Германии обнаружили на нескольких моделях китайских смартфонов опасный бэкдор. Он был встроен в процессе их производства, что значительно затрудняет его удаление.
Вредонос найден в прошивках смартфонов Doogee BL7000, M-Horse Pure 1, Keecoo P11. В VKworld Mix Plus он установлен, но не активирован. Все эти модели относятся к низкобюджетному сегменту.
Речь идёт о трояне Andr/Xgen2-CY, который впервые идентифицирован в октябре 2018 года специалистами Sophos Labs. В то время этот вредонос скрывался в приложении SoundRecorder, предустановленном на смартфоне Ulefone s8 Pro.
Andr/Xgen2-CY проектировался как неудаляемый бэкдор. Он активируется при первом включении смартфона, после чего его невозможно отключить или удалить. Вредонос получает доступ к конфиденциальной информации и передаёт хакерам следующие данные:
- Номер телефона
- Информация о местоположении
- Идентификаторы IMEI и Android ID
- Разрешение экрана
- Производитель, модель, марка, версия Android
- Марка процессора
- Тип сети
- MAC-адрес
- Объём постоянной и оперативной памяти
- Объём SD-карты
- Язык и страна
- Оператор мобильной связи
Удалённый сервер может отдавать вредоносу различные команды:
- Скачать и установить приложение с помощью скачанного APK-файла
- Удалить любое установленное приложение
- Выполнить shell-команду
- Открыть адрес в браузере
Эксперты Федерального управления по информационной безопасности утверждают, что вредонос надёжно закреплён в прошивке смартфонов, поэтому пользователь не может самостоятельно удалить его, даже если сбросит ОС к заводским настройкам. Ежедневно к управляющим серверам Andr/Xgen2-CY обращаются как минимум 20 тысяч смартфонов. Патч, убирающий из прошивки вредоносный код, выпустил только производитель смартфона Keecoo P11, а остальные компании проигнорировали проблему.
В недорогих смартфонах китайских производителей и раньше находили неудаляемый вредоносный код. Раньше он, как правило, добавлялся реселлерами, которые извлекали дополнительный доход от показа рекламных баннеров и отправки SMS на платные номера. До недавних пор производители не были замечены в предустановке вирусов на свои гаджеты.
iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
