Security Week 24: заводские бэкдоры в смартфонах Android

    Прошедшая неделя вышла богатой на новости про безопасность смартфонов Android. Во многих СМИ (например, в ArsTechnica) написали о том, что Google «подтвердила» факт продажи смартфонов с предустановленным «на заводе» бэкдором. Поводом для таких заголовков стала вполне техническая статья эксперта Google Лукаша Сиверски с разбором семейства мобильных вредоносных программ Triada.

    Triada известна исследователям (включая, естественно, команду Google) с 2016 года. Впервые бэкдор описали специалисты «Лаборатории Касперского» (здесь и здесь). В этих двух материалах подробно рассказывается о внедрении вредоносного кода в операционную систему (еще в версии Android 4.x), сборе и отправке данных о пользователе, а также модификации нескольких браузеров для демонстрации рекламных баннеров.

    Что действительно представляет интерес в посте представителя Android Security Team, так это ответ на вопрос, как именно вредоносный код попал в прошивку телефонов. Разработчики китайских бюджетных устройств обращались к подрядчикам для разработки дополнительных фич. Через такого подрядчика в систему встраивался бэкдор.

    В исследовании «Лаборатории Касперского» 2016 года описывается вариант Triada, который мог быть предустановлен на телефоны китайских производителей, но также был способен атаковать любые другие смартфоны. Triada использовала уязвимости в актуальной на тот момент версии Android 4.x. Уникальной особенностью бэкдора была способность внедрения в ключевой процесс Android, известный как Zygote.


    Такой подход обеспечивал трояну практически полный контроль над устройством. Статья Android Security Team подробно описывает и еще одну деталь: для получения контроля над системными процессами Triada использовала модифицированный бинарник su. Он давал приложениям привилегии суперпользователя, только если они делали запрос с правильным паролем.
    Также в посте Лукаша Сиверски рассказывается, как бэкдор отслеживал, какое приложение открывал пользователь. Если это был браузер, поверх него демонстрировалась реклама. Если открывался магазин Google Play, Triada в фоне скачивала и устанавливала приложения с собственного командного сервера.

    В 2017 году компания Dr.Web в своем исследовании привела примеры зараженных «заводским» бэкдором смартфонов: Leagoo M5 Plus, Leagoo M8, Nomu S10 и S20. Недорогие (около 100 долларов) устройства продавались и в Китае, и на Западе, некоторые из них до сих пор можно найти в китайских интернет-магазинах.


    В свежей статье Google раскрывает схему внедрения «заводской» версии Triada (см. изображение выше). Судя по всему, поставщики смартфонов обращались к сторонним компаниям для включения в прошивку устройства дополнительной функциональности, отсутствующей в проекте Android Open Source. Для этого подрядчику (упоминаются компании Yehuo и Blazefire) отправлялся образ системы. Он же возвращался с довеском — как легитимным (разблокировка по лицу владельца), так и вредоносным. В Google сообщили, что совместно с разработчиками устройств удалили следы бэкдора из прошивок.

    Но, видимо, только этого бэкдора. 7 июня представители управления по информационной безопасности (BSI) Германии сообщили (новость) об обнаружении бэкдора Xgen2-CY в четырех бюджетных смартфонах. Модели Doogee BL7000, M-Horse Pure 1, Keecoo P11 и VKworld Mix Plus собирают информацию о пользователе и отправляют ее на командный сервер, способны без ведома пользователя устанавливать приложения и открывать страницы в браузере. Только для модели Keecoo P11 (5.7 дюйма, 4 ядра, 2 гигабайта памяти, 110 долларов на GearBest) доступна обновленная версия прошивки без бэкдора. По данным BSI, к C&C-серверам злоумышленников с немецких IP обращаются до 20 тысяч устройств.

    В общем, проблема не совсем решена, и рекомендация для потребителей, наверное, будет такая: подумайте дважды, прежде чем покупать дешевый смартфон сомнительного бренда. В июле прошлого года мы цитировали статью издания Motherboard, в котором описывалась копеечная реплика iPhone X из Китая. Устройство рассылало пользовательскую информацию направо и налево. Такие поделки за пределы Китая обычно не попадают, но некоторые «международные» устройства оказываются не лучше. В то время как мы обсуждаем вопросы приватности и практику сбора данных о пользователе всеми участниками рынка, десятки тысяч людей по всему миру становятся жертвами откровенного киберкриминала.

    Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
    «Лаборатория Касперского»
    281,57
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией

    Комментарии 15

      +2
      Брали за границей samsung j7 prime 2 (g611ff) двухсимочный. Коробка не вскрытая, телефон новый, признаков юзания не было. Официальный магазин, телефон может и не белый, но растаможенный точно (других там нет). Проверили что включается, сим-карту проверили — звонок прошел, довольны типа были. Прошивки автоапдейтились без проблем.
      Потом через неделю (уже когда поздняк было метаться) обнаружили что не работает приватный режим в интернет браузере, кнокс ругается что рут доступ и не запустился, самсунг пей не работает. При этом судя по интернет мануалам на проверку рут доступа (файлы там и приложения) — нет ни одного признака получения рут доступа в прошлом. А в истории логов телефонного оператора отправка смс на индийский номер при активации неделю назад, хотя в логах телефона — никаких признаков.
      И вот непонятно что теперь делать с этим и вообще что это такое было. Полноценно использовать ясен пень страшно. Признаков рут доступа нет и даже инструкций по рут доступу на него нет, прошивки официальные накатываются самим андроидом то есть должна были бы быть чистые по любому, флаг получения рут доступа тоже непонятно как сбросить что бы хотя бы функционал иметь.
      p.s.: Не знаем даже в тему это или нет, но вот как бы такая реал стори.
        0
        Я советую пойти на форум 4PDA, найти тему прошивок для этого аппарата и вручную прошить подходящей прошивкой. Заодоно там же рассказать про это (если ещё никто там про это уже не написал — вдруг это массовое что-то?).
          0
          Были уже, половину своего поста полугодовой давности оттуда и копирнули:) Нету под него ничего:( Официально в россии не продавался, да и вообще модель не особо популярная. В гуглах тоже только жалобы на это же самое (гуглятся в основном по одинаковому индийскому номеру куда смс уходят).

          Откатить или сбросить счётчик KNOX нельзя никак.
          Для некоторых моделей есть инструкции по сбросу или обходу.
            0
            А если в техподдержку Самсунга написать: так, мол, и так, дайте, пожалуйста, чистую прошивку для него?
              0
              Прошивки по воздуху уже прилетали несколько раз и ставились без проблем, именно официальные чистые. Откуда эта гадость лезет поэтому непонятно вообще. Ну и с рутом тоже непонятно, ни один из тестов на рут не показывает что устройство рутованное, но родные кноксы и прочие не запускаются ругаясь именно на это. Отсюда и подозрение что зарыто это глубже прошивки, хотя как это в принципе могли сделать не вполне понятно.
                0
                А точно официальные, точно от Самсунга? А то ведь он для Индии. Может прошит какой-то левой прошивкой и обновляется тоже с какого-нибудь левого сервера. Специально для того, чтобы не потерял такую вот индийскую привязку. Я бы попробовал изложить всё это именно Самсунгу, получить от них чистую прошивку и прошиться. Или же получить от них же подтверждение, что эта модель только для Индии и так и должно быть. И тогда… всё?
                  0
                  Тесты на рут могут проверять только очевидный рут, однако может, например не стоять SU, и половина тестов скажет что рута нету, плюс разные тесты на разных устройствах по-разному работают. Если Кнокс ругается, значит попытки рута были: может не до конца доделанные, а может после этого поставилась чистая ось, поэтому вы следов не видите.
                    +1

                    По воздуху приходят инкрементные патчи, которые заменяют добавляют какой-то код, но не весь. Так что шансов, что патч перезапишет левый бекдор мало. Нужно прошивать полный образ.

                  0
                  На forum.xda-developers.com попробуйте поискать.

                  Вроде что-то есть даже forum.xda-developers.com/galaxy-j7/samsung-galaxy-j7-prime--j7-on-nxt-exynos7870
                0
                Попадал мне в руки подобный телефон. Обновление не накатывались сами — скачивал с официального сайта и прошивал. Результат — в течение месяца всё начинается заново. Всплывающая реклама, установка сторонних приложений и прочее.
                Так что, здесь, причина именно в самой прошивке от производителя.

                Выход тут только ставить кастомную прошивку от надёжного источника. Как уже писали здесь, 4PDA может помочь. Но есть одно большое «НО» — там, в основном, только распространённые модели. Не всегда можно найти для нужного телефона.

                Вывод: не стоят эти дешёвые китайские телефоны того времени и нервов, которые тратятся на них для того, чтобы пользоваться телефоном. Даже, как «просто резервный», «временный» или «всё равно быстро ломаются» они не подойдут.
                0
                флаг получения рут доступа тоже непонятно как сбросить что бы хотя бы функционал иметь

                На самсунгах при получени рута счетчик KNOX установиться в состояние 0х1, что равносильно потере гарантии. Больше не будут работать фирменные приложения Samsung и samsung pay в том числе. Откатить или сбросить счётчик KNOX нельзя никак.
                  +1
                  Являюсь обладателем Doogee t5 lite, плюс у знакомого был такой. Так вот, вирусного софта в нем хоть отбавляй, причём ставиться он сам. Если верить форуму 4PDA, то Рут поможет решить проблему, но пока руки не дошли попробовать.
                  0
                  Был у меня сильно китайский планшет Onda — получил на нем рут и руками удалял с десяток наблюдательных софтин, некоторые он умеет восстанавливать.
                    +1
                    подумайте дважды, прежде чем покупать дешевый смартфон сомнительного бренда

                    Покупайте машину у нас или Вас обманут в другом месте!

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое