Исследование Trend Micro: Россия на втором месте по числу китайских смартфонов на Android со зловредами с производства

[nickolas059]

Очень любопытно. Как понять, используется этот бэкдор или нет?

[connected201]

https://mitmproxy.org/

[Maxim_Q]

Я просто смотрю детализацию в личном кабинете оператора. Если были входящие СМС то они могут удалиться трояном на телефоне, но останутся в детализации у оператора.

[tormozedison]

Вижу много сценариев применения этой хрени, но не вижу применительно именно к каршерингу. Чтобы что? Скорость превышать, и за это водителю ничего не было, а было владельцу симки? Так машина камерами напичкана, дорога тоже. Прекрасно видно, кто за рулём. А если у владельца симки ещё и водительских прав нету, претензии будут ещё и к каршерингу, как такого пользователя вообще зарегистрировали.

[ganzmavag]

Интересно, когда вдруг приходят СМС для подтверждения регистрации на сервисе, где человек не собирался регистрироваться, не попытка ли это эксплуатации таких уязвимостей.

А ещё интересно откуда данные по конкретным моделям. По идее надо владельцев тогда уведомлять и у производителя требовать ответ, а не просто комментарий брать. С завода на устройства, которые прошли сертификацию, массово устанавливают вирусы, но мы просто напишем об этом и несколько примеров приведём. И хватит на этом.

[Dekanser]

Едва ли при разработке подобных бэкдоров не позаботятся о том, чтобы владелец не узнал о попытках взлома.
К примеру вот статья от ValdikSS про бэкдоры в кнопочных телефонах.
Исходя из неё, о наличии бэкдора можно узнать благодаря детализации от оператора (если он не в доле, конечно).
А если подобные смс приходят массово, то это вероятней работа смс бомбера.

[ganzmavag]

Я когда писал думал про неудачные попытки. Например СМС отослали, а на устройстве по каким-то причинам бэкдора не оказалось. В итоге такой выстрел в холостую. К тому же всё-таки нет гарантий, что все бэкдоры идеальны и умеют скрывать СМС.

СМС-бомбер обычно заваливает сообщениями из разных сервисов, а тут бывает когда с какого-то одного и буквально несколько штук.

[tormozedison]

Я нашёл информацию о том, что делают смс-бомберы. Сначала забрасывают десятками, иногда сотнями смс для регистрации. Затем утверждают, что они «из техподдержки, хотят со всем этим разобраться», просят прислать скриншот. Получатель знает, что «нельзя никому сообщать коды из смс», а про скриншоты там ничего не сказано. Ну, он и присылает.

[GomboTs]

 И хватит на этом.

"Требовать ответ у производителя" это не совсем дело антивирусных компаний и даже журналистов.

Они публикуют данные, компетентные органы заинтересуются... или нет.

[aksogumb]

не попытка ли это эксплуатации таких уязвимостей.

Именно, что эксплуатация. Вот человек в соседней новости пишет, что проверял: habr.com/ru/company/itsumma/news/t/651657/#comment_24085491
И, кстати, да, он же пишет, что операторы в доле и в детализацию по траффику смотреть бесполезно.

[REPISOT]

Только не надо путать установленное на заводе ПО (с бекдорами, закладками, с удаленным управлением и чем там еще...) с вирусом. Компьютерный вирус по определению должен уметь распространяться. Умеют эти китайские смартфоны заражать другие?

[Metotron0]

В нынешнем языке некоторые слова поменяли значение, которое было всего 20 лет назад. Никуда не деться. Особое спасибо журналистам.

[StjarnornasFred]

Скорее это просто дефект перевода. В ряде источников встретилось более точное название: троян.

[Neferot]

Ну например Трояны, руткиты, Spyware, zombi (Боты - и бот сети) - вроде бы относятся тоже к комп.вирусам, но не обязательно у них должна быть функция саморепликации.

[uzverkms]

<irony>Неужели покупая Самсунги/Айфоны мы не переплачиваем по чём зря за то, что можем получить в китайских смартфонах за адекватную цену? Удивительно, что китайцы оказались компромиссом, причём в плане безопасности.

[uzverkms]

По идее, те, которе после иронии - постироничные.

[Aldrog]

Это если бы тег закрыли.

[muxa_ru]

сделал

[Metotron0]

Он с возможностью самозакрытия, как какой-нибудь <li>

[muxa_ru]

Эту ветку уже не спасти, но дальше оно не распространится.
</irony>

[ReadOnlySadUser]

HTML не так работает. Отступы ничего не значат. Никто других тегов не открывал, а значит тэг-таки закрылся)

[muxa_ru]

Это сложный вопрос.

Надо бы провести эксперименты и посмотреть на результат.

[rPman]

Так прямо и ждал что в статье предложат покупать только те смартфоны, на которых стоит пометка 'Ростест (ЕАС)', появились такие в маркете с ценами чуть чуть ниже чем те что с global прошивкой, понятно зачем и почему.

По теме — подменой софта занимаются многие перекупы, и очень давно (я и знакомые попадали на рекламный троян с отложенной активацией) т.е. любой продавец на aliexpress/gearbest/… это может сделать

И первое что должен сделать покупатель — это переустановить официальную прошивку, тем более рутовать для этого ничего не нужно.

[tormozedison]

Тоже подумал, что по крайней мере те бэкдоры, которые установлены не производителем, а продавцом, не переживут первую же FOTA.

[rPman]

к сожалению переживут
современное обновление проводится по пакетам а не перезаписью файловой системы

вирус/троян же это просто приложение, прописанное в автозапуск как служба
этим пользуются все вендоры, добавляющие свои 'легальные трояны' для кражи персональной информации клиентов

[qw1]

Всё сильно зависит от того, где установлен троян. Если в system — полное обновление его перезапишет (а инкрементальное обновление не встанет, т.к. с Android 9+ патчи накатывают не на файлы, а на блочное устройство, и перед патчем считают контрольные суммы раздела). А если в userdata — троян легко вычистить очисткой userdata, т.е. «сбросом к заводским настройкам».

[Machirodont]

Это же вот эти Trend Micro? Может, они и прокомментируют, раз уж они на хабре есть?

[bbs12]

И первое что должен сделать покупатель — это переустановить официальную прошивку

А если аппарат пришел со старой версией андроида, но уже вышло обновление и ты обновился - это считается "переустановкой"?

[4aba]

Надо еще сбросить настройки после этого.

[qw1]

Источник не получается найти. Возможно, «Коммерсантъ» это всё выдумал ради хайпа.

[edogs]

Machirodont можно исходник прочитать.
documents.trendmicro.com/assets/white_papers/wp-sms-pva-underground-service-enabling-threat-actors-to-register-bulk-fake-accounts.pdf

[qw1]

Спасибо за ссылку, интересно было почитать. Однако, там выявлена лишь бот-сеть, а установка троянца на фабрике не доказана. Вот если бы они за руку продавца поймали — новый девайс куплен в магазине с таким подарком.

С другой стороны, если в этом замешан вендор, он бы поступил умнее — трояны бы прилетали через 3-4 месяца эксплуатации устройства (причём через стандартный механизм обновлений, а вирусный контент появлялся бы при очередной 100-й (± random) ежесуточной проверке обновления, чтобы исследователи не могли за вменямое время дождаться его в лаборатории). Тут за руку не поймаешь.

С третьей стороны, в статистике слишком много разных вендоров (кстати, не только китайских). Сговор чрезвычайно маловероятен. А главное, ради чего? Чтобы получать копеечку с одного хакерского сайта, ценой краха всего бизнеса (особенно у такого гиганта, как Huawei).

[KanuTaH]

В августе 2021 года пользователь Хабра обнаружил, что 80% кнопочных телефонов, продающихся официально в России, имеют «закладки» в прошивке

Ничего подобного он не обнаружил. Что он обнаружил на самом деле - так это то, что в 4 из 5 случайно выбранных им телефонов были такие закладки. Не более и не менее. Смелое обобщение про "80% кнопочных телефонов, продающихся в России" - это очередная отсебятина очередного "хабраредактора".

[GomboTs]

Обобщение, разумеется, смелое, но не безосновательное.

[Ksv21]

Просто самопиар. Трендмикро малоизвестный в России бренд. Вот и...нагоняют страхов. ) Не напугаешь не продашь.- принцип многих систем безопасности.

[x-megabit]

Если это так то будет как в анекдоте про студентку и экзамен по физике: последнее что сделает народ это поставит и оплатит подписку на этот антивирус … Уйти на «корейцев»/яблоко/перестать использовать смартфоны вообще- это да, купить антивирус для телефона- ага счас …

[DragonHobo]

Любопытно кто заказал эту анти рекламу китайской продукции.. Trend Micro.. ?

[nickolas059]

Зато теперь понятно маниакальное желание моего Oppo Reno 10X zoom работать только с собственным приложением для смс. Любое другое невозможно использовать ну никак. И да, ко мне не раз приходили смс для регистрации WhatsApp аккаунта... Навевает на мысли