Sledujte nás na YouTube

Další hrozba pro telefony s Androidem: předinstalovaný malware

Technologie Check Point Mobile Threat Prevention odhalila závažnou infekci ve 38 zařízeních se systémem Android ve velké telekomunikační společnosti a nadnárodní technologické společnosti, které si nepřály být jmenovány. I když to není nic neobvyklého, jeden detail útoků je velmi zajímavý. Ve všech případech nebyl malware stažen do zařízení uživatelem, ale hrozba už byla v zařízení předinstalovaná.

Malware byl v zařízeních ještě předtím, než je uživatelé obdrželi, ale co je důležité zmínit – škodlivé aplikace nebyly součástí oficiální ROM dodaném výrobcem a byly přidány až někde během dodavatelského řetězce. Nabízí se tedy otázka, zda si tímto malwarem nechtěl přivydělat některý z prodejců telefonů, jelikož zisky z reklamy zobrazované malwarem nejsou zanedbatelné.

V šesti případech byl malware navíc přidán pomocí systémových oprávnění přímo do ROM zařízení, takže hrozba nemohla být odstraněna uživatelem a zařízení muselo být přeflashováno. Výzkumný tým byl schopen určit, kdy výrobce dokončil instalaci systémových aplikací, kdy byl nainstalován malware a kdy uživatel zařízení dostal. Studie bohužel nehovoří o tom, v jaké zemi se tento problém objevil, nicméně nejde o Českou republiku ani Slovensko.

Godless Android malware

Ve většině případů objevený předinstalovaný malware na zařízeních kradl informace a generoval zisky ze zobrazování nelegitimní reklamy. V jednom případě se jednalo o mobilní ransomware Slocker. Slocker používá šifrovací algoritmus AES pro zašifrování všech souborů na zařízení a za poskytnutí dešifrovacího klíče požadoval výkupné. Slocker používá pro komunikaci s C&C serverem anonymní síť Tor.

Přehled infikovaných APK souborů a zařízení

Upozornění: Ani v jednom případě se malware neobjevil přímo z výrobci, výrobci jsou tedy z obliga. Do zařízení se dostal až později v rámci distribučního řetězce. 

com.fone.player1Galaxy Note 2
LG G4
com.lu.compassGalaxy S7
Galaxy S4
com.kandian.hdtogoappGalaxy Note 4
Galaxy Note 8.0
com.sds.android.ttpodGalaxy Note 2
Xiaomi Mi 4i
com.baycode.mopGalaxy A5
com.kandian.hdtogoappGalaxy S4
com.iflytek.ringdiyclientZTE x500
com.android.deketvGalaxy A5
com.changbaGalaxy S4
Galaxy Note 3
Galaxy S4
Galaxy Note Edge
Galaxy Note 4
com.example.loaderGalaxy Tab S2
com.armorforandroid.securityGalaxy Tab 2
com.android.ys.servicesOppo N3
vivo X6 plus
com.mobogenie.daemonGalaxy S4
com.google.googlesearch5 Asus Zenfone 2
LenovoS90
com.skymobi.mopoplay.appstoreLenovoS90
com.example.loaderOppoR7 plus
com.yongfu.wenjianjiaguanliXiaomi Redmi
air.fyzb3Galaxy Note 4
com.ddev.downloader.v2Galaxy Note 5
com.mojang.minecraftpeGalaxy Note Edge
com.androidhelper.sdkLenovo A850

Předinstalovaný malware: továrna na peníze

Obecným pravidlem je, že by se uživatelé měli vyhnout riskantním webovým stránkám a měli by stahovat aplikace pouze z oficiálních a důvěryhodných zdrojů. Nicméně jen dodržovat tyto pokyny nestačí. Předinstalovaný malware ohrožuje bezpečnost i těch nejpečlivějších uživatelů. Navíc uživatel, který obdrží zařízení s malwarem, není schopen zaznamenat jakékoliv změny v činnosti přístroje, které se často vyskytují po instalaci malwaru. A samotní autoři si díky zobrazování reklamy uživatelům mohou přijít na velmi slušné peníze.

Objevení předinstalovaného malwaru vyvolává řadu znepokojivých otázek ohledně mobilní bezpečnosti. Uživatelé mohou dostat zařízení, které obsahuje zadní vrátka nebo je rootované bez jejich vědomí. Pro ochranu před normálním i předinstalovaným malwarem by měli uživatelé používat pokročilá bezpečnostní opatření, která mohou identifikovat a blokovat jakoukoliv anomálii v chování zařízení.

Michal Javůrek

31 komentářů

  1. pepa55 (neregistrovaný)

    Zajimavee…no google by mel zakročit.

    • SLOVovca (neregistrovaný)

      Četl jsi to vůbec ?
      “Upozornění: Ani v jednom případě se malware neobjevil přímo z výrobci, výrobci jsou tedy z obliga. Do zařízení se dostal až později v rámci distribučního řetězce. “

      • Petr (neregistrovaný)

        Klid slovovca to jen Jiříček perlí nesmysly pod anonymním Nickem vid Jirko?

      • SLOVovca (neregistrovaný)

        Já jsem v klidu, jen jsem ho upozornil že Google s tím nemá nic společného .

  2. Petr (neregistrovaný)

    Vím proč nekupuji operátorské telefony s předinstalovanými appkami a dalším smetím.

    • SLOVovca (neregistrovaný)

      Nemusí být od operátora, stačí si koupit ty čínské telefony Huawei, Asus, Lenovo …

      • Petr (neregistrovaný)

        Jo o lenovu je to známý ze tam bylo v některé sérii u konkrétních modelů něco od výrobce o asusu a zuzlavej jsem zatím neslyšel.

      • Vojta (neregistrovaný)

        Lenovo s malvarem v poslední době nemělo problém. Přečti si, SLOVovca ten článek ještě jednou..

  3. ochotník (neregistrovaný)

    To není nic neobvyklého u androidu. Proto se android nemuže používat v podnikani, finančním sektoru, právních službách, obchode atp.

    • Petr (neregistrovaný)

      Tak to evidentne nevis, o cem mluvis.

    • luky (neregistrovaný)

      Kecas nesmysly ochotníků, bezpečný není žádný OS na světě a pro tebou zmíněné účely, jsou řešení třetích stran, které na zakázku vybaví telefony vyšším zabezpečením.

  4. Martin (neregistrovaný)

    Nesmysl. Android je zcela bezpečný systém.

    • CyberDeath (neregistrovaný)

      Hahahahahahahaha
      Dobře jsi mě bobavil po ránu:-D

    • Jistě, je to vždy chyba uživatele. Třeba že si koupil přístroj s Androidem:)

      • Tomas (neregistrovaný)

        Jiste, kdyz takovou chybu udelal mentor a prezident zemekoule uni, a to po nekolikrate za sebou, co pak bezny uzivatel:D

      • To je otázka. Poslední tři přístroje jsem utekl od Androidi (ve smyslu AOSP jak jej nasazují výrobci) k CyanogenMod jak to jen bylo možné:) Před tím jsem asi byl čéče ještě na WM, je to možné? Mmt, to budu muset rozhýbat mozkové závity…:)

      • Tomas (neregistrovaný)

        Pochybuju zes nekdy v lenovu nebo samsungu mel AOSP:)

      • Tomas (neregistrovaný): To bohužel ano, zvláště na Lenovo trvalo snad rok, než se CM objevil a jel jsem na stock.

      • Tomas (neregistrovaný)

        uni, chtel jsem tim rict ze android s nadstavbou neni aosp. Ani stock ROM od Google ne.

      • Tomas (neregistrovaný): Jádro (AOSP, CM, Lineage, OxygenOS, MIUI atd.) a nadstavba jsou odlišné věci.

      • Martin P. (neregistrovaný)

        To Tomas (neregistrovaný) 16.3.2017 v 9:22:…. ….vzhledem k licencím spousta alternativních ROM jede na AOSP a nemají integrované GAPS.

      • zipiik (neregistrovaný)

        uni: Nevim, kam jsi z AOSP utekl, ale “Lineage OS is an aftermarket custom ROM based on AOSP source code with contributions from Android community.” Proste je to modifikovany AOSP stejne jako u vyrobcu zarizeni s Androidem.

      • zipiik (neregistrovaný): Ano, je to kompatibilní s AOSP, to by jinak byla samozřejmě sebevražda, kterých jsme několik viděli v posledních letech. Ale jinak to píšou sami, ostatně ne nadarmo to má jízdní řád vydávání nových verzí a vlastnosti úplně jinak než AOSP.

      • zipiik (neregistrovaný)

        Lineage OS, drive CyanogenMod, vychazi ze zdrojovych kodu AOSP a pridava k nim rozsireni, moznosti tweakovani atd. Byla by blbost znovu implementovat kompletni kopii AOSP. Staci se podivat, jake verze CyonogenModu vychazi z jake verze AOSP – https://cs.wikipedia.org/wiki/CyanogenMod#V.C3.BDvoj

      • zipiik (neregistrovaný): Nevím proč by to byla blbost. Blbost by bylo naopak přebírat AOSP s hromadou nesmyslů, které tam jsou, když to můžeš napsat lépe nebo jen jinak. Což je právě případ těch dalších OS.

      • zipiik (neregistrovaný)

        Muzes bliz specifikovat “hromadu nesmyslu”? Stejne jako Lineage, tak vsechny ROM vyrobcu zarizeni samozrejme vychazi z AOSP, ktery si upravi po svem.

      • zipiik (neregistrovaný): Uf, probírat komplet Android za ty roky zpět…to nedám, sorry, asi jindy. Navíc mám pocit, že je to trochu do kola….

      • zipiik (neregistrovaný)

        Takze arumenty nejsou? Zda se, ze dnes nejsi ve forme :)

      • zipiik (neregistrovaný)

        Ale docela me pobavila predstava, jak si vyrobci pisou vlastni klon Dalviku/ARTu a do nej portuji zakladni javove knihovny misto toho, aby to prevzali z AOSP :)

      • zipiik (neregistrovaný): Tak to jsi “Uf, probírat komplet Android za ty roky zpět…” špatně pochopil. Už tady máš potíže (s tvoji osobou tak nějak spojené) a chceš již do komplikovanějších věcí, fakt ne:D

      • zipiik (neregistrovaný)

        Za celou dobu rozhovoru s tebou jsem nedostal jediny argument, kterym bys podporil svoje tvrzeni, tak jsem myslel, ze dnes bys mohl nejaky vypustit…tak snad nekdy priste :) Jinak tady mas pekny obrazek, co vsechno AOSP obsahuje, myslim, ze obrazky bys mohl i pri sve zpomalene progresi pochopit – https://source.android.com/source/index.html

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *