Technologie Check Point Mobile Threat Prevention odhalila závažnou infekci ve 38 zařízeních se systémem Android ve velké telekomunikační společnosti a nadnárodní technologické společnosti, které si nepřály být jmenovány. I když to není nic neobvyklého, jeden detail útoků je velmi zajímavý. Ve všech případech nebyl malware stažen do zařízení uživatelem, ale hrozba už byla v zařízení předinstalovaná.
Malware byl v zařízeních ještě předtím, než je uživatelé obdrželi, ale co je důležité zmínit – škodlivé aplikace nebyly součástí oficiální ROM dodaném výrobcem a byly přidány až někde během dodavatelského řetězce. Nabízí se tedy otázka, zda si tímto malwarem nechtěl přivydělat některý z prodejců telefonů, jelikož zisky z reklamy zobrazované malwarem nejsou zanedbatelné.
V šesti případech byl malware navíc přidán pomocí systémových oprávnění přímo do ROM zařízení, takže hrozba nemohla být odstraněna uživatelem a zařízení muselo být přeflashováno. Výzkumný tým byl schopen určit, kdy výrobce dokončil instalaci systémových aplikací, kdy byl nainstalován malware a kdy uživatel zařízení dostal. Studie bohužel nehovoří o tom, v jaké zemi se tento problém objevil, nicméně nejde o Českou republiku ani Slovensko.
Ve většině případů objevený předinstalovaný malware na zařízeních kradl informace a generoval zisky ze zobrazování nelegitimní reklamy. V jednom případě se jednalo o mobilní ransomware Slocker. Slocker používá šifrovací algoritmus AES pro zašifrování všech souborů na zařízení a za poskytnutí dešifrovacího klíče požadoval výkupné. Slocker používá pro komunikaci s C&C serverem anonymní síť Tor.
Přehled infikovaných APK souborů a zařízení
Upozornění: Ani v jednom případě se malware neobjevil přímo z výrobci, výrobci jsou tedy z obliga. Do zařízení se dostal až později v rámci distribučního řetězce.
com.fone.player1 | Galaxy Note 2 |
LG G4 | |
com.lu.compass | Galaxy S7 |
Galaxy S4 | |
com.kandian.hdtogoapp | Galaxy Note 4 |
Galaxy Note 8.0 | |
com.sds.android.ttpod | Galaxy Note 2 |
Xiaomi Mi 4i | |
com.baycode.mop | Galaxy A5 |
com.kandian.hdtogoapp | Galaxy S4 |
com.iflytek.ringdiyclient | ZTE x500 |
com.android.deketv | Galaxy A5 |
com.changba | Galaxy S4 |
Galaxy Note 3 | |
Galaxy S4 | |
Galaxy Note Edge | |
Galaxy Note 4 | |
com.example.loader | Galaxy Tab S2 |
com.armorforandroid.security | Galaxy Tab 2 |
com.android.ys.services | Oppo N3 |
vivo X6 plus | |
com.mobogenie.daemon | Galaxy S4 |
com.google.googlesearch | 5 Asus Zenfone 2 |
LenovoS90 | |
com.skymobi.mopoplay.appstore | LenovoS90 |
com.example.loader | OppoR7 plus |
com.yongfu.wenjianjiaguanli | Xiaomi Redmi |
air.fyzb3 | Galaxy Note 4 |
com.ddev.downloader.v2 | Galaxy Note 5 |
com.mojang.minecraftpe | Galaxy Note Edge |
com.androidhelper.sdk | Lenovo A850 |
Předinstalovaný malware: továrna na peníze
Obecným pravidlem je, že by se uživatelé měli vyhnout riskantním webovým stránkám a měli by stahovat aplikace pouze z oficiálních a důvěryhodných zdrojů. Nicméně jen dodržovat tyto pokyny nestačí. Předinstalovaný malware ohrožuje bezpečnost i těch nejpečlivějších uživatelů. Navíc uživatel, který obdrží zařízení s malwarem, není schopen zaznamenat jakékoliv změny v činnosti přístroje, které se často vyskytují po instalaci malwaru. A samotní autoři si díky zobrazování reklamy uživatelům mohou přijít na velmi slušné peníze.
Objevení předinstalovaného malwaru vyvolává řadu znepokojivých otázek ohledně mobilní bezpečnosti. Uživatelé mohou dostat zařízení, které obsahuje zadní vrátka nebo je rootované bez jejich vědomí. Pro ochranu před normálním i předinstalovaným malwarem by měli uživatelé používat pokročilá bezpečnostní opatření, která mohou identifikovat a blokovat jakoukoliv anomálii v chování zařízení.