Дослідники Human Security ідентифікували 7 приставок Android TV і планшетний комп’ютер, які продавалися з попередньо встановленими бекдорами, а також виявили ознаки зловмисної діяльності ще у 200 різних моделях пристроїв Android. Про це повідомляє Tech News Spase.
Схема включає два напрями:
1) Badbox – мережа пристроїв із попередньо встановленими бекдорами;
2) Peachpit – мережа застосунків, через які здійснюється шахрайська реклама.
Badbox в основному націлений на недорогі приставки Android вартістю менше $50, які продаються в Інтернеті та у звичайних магазинах. Вони не брендовані або реалізуються під іншими назвами, що допомагає приховати їхнє походження.
Ці пристрої генерують зловмисний трафік, отримуючи доступ до домену Flyermobi.com. Підтверджено наявність 8 таких пристроїв: приставки T95, T95Z, T95MAX, X88, Q9, X12PLUS і MXQ Pro 5G, а також планшетний комп’ютер J5-W.
Human Security виявила щонайменше 74 тисячі заражених пристроїв, у тому числі в навчальних закладах США. Усі вони зроблені в Китаї й інстальовані в якийсь момент за допомогою троянського бекдору Triada, який Лабораторія Касперського виявила ще у 2016 році. Він замінює один із компонентів Android, отримуючи таким чином доступ до програм, встановлених на пристрої.
Бекдор підключається до командно-контрольного сервера (C2) у Китаї без відома користувача, завантажує набір інструкцій та виконує шкідливі дії.
Human Security виділила кілька видів такої діяльності: рекламне шахрайство, резидентні проксі (продаж доступу до мережевих ресурсів від жертв – власників заражених пристроїв), реєстрація облікових записів Gmail і WhatsApp, віддалене виконання коду.
Ті, хто стоїть за схемою, пропонували доступ до своїх мереж, стверджуючи, що мають доступ до понад 10 мільйонів домашніх і 7 мільйонів мобільних IP-адрес.
За даними експертів Trend Micro, організатори програми мають понад 20 мільйонів заражених пристроїв по всьому світу, 2 мільйони з яких – активні. Зокрема, в одному з європейських музеїв виявлено планшетний комп’ютер. Також є підстави вважати, що це стосується багатьох пристроїв Android, зокрема в автомобілях.
Peachpit пов’язаний зі шкідливими програмами, які присутні не тільки на ТВ-приставках, але й добровільно встановлюються користувачами на телефони Android та iPhone. В основному це шаблонні застосунки не дуже високої якості, наприклад комплекси вправ для накачування м’язів живота або програмне забезпечення для обліку кількості випитої користувачами води.
Всього вдалося виявити 39 таких застосунків для Android, iOS і телеприставок. Варто зазначити, що ці програми мають схожість зі шкідливим програмним забезпеченням, розгорнутим на пристроях Badbox.
Представник Google Ед Фернандес заявив, що компанія видалила з Google Play 20 застосунків для Android, ідентифікованих дослідниками Human Security.
Також він сказав, що пристрої з попередньо встановленими бекдорами не сертифіковані Play Protect, тобто Google не має даних щодо результатів тестування безпеки та сумісності, але вебсайт Android має список партнерів.
В Apple повідомили, що компанія зв’язалася з розробниками п’яти застосунків, включених у звіт Human Security. Їм дали 14 днів на виправлення помилок, а чотири з них більше не становлять загрози.
Pаніше ми повідомляли, що хакери, які працюють на Генштаб рф, атакували українських військових за допомогою нової шкідливої програми для Android.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
