Backdoor w urządzeniach z Androidem – i to od samego ich producenta

O autorze

Anna Rymsza

@Xyrcon

Kobieta o wielu talentach, użytkowniczka OS X kochająca fotografię, kuchnię wschodnią, ciężką muzykę i poprawną polszczyznę.

Na wielu smartfonach z Androidem z wyższej półki znaleziony został backdoor. Urządzenia pochodziły z fabryk firmy Coolpad – trzeciego największego producenta w Chinach i szóstego na świecie. Co ciekawe, tylne wejście zostało zainstalowane przez producenta i to on zajmował się jego administracją.

Backdoor został nazwany CoolReaper od nazwy firmy. Do jego odkrycia doprowadziły skargi użytkowników na forach. Klienci, którzy kupili urządzenia wyprodukowane w fabrykach Coolpada, skarżyli się na pojawiające się znikąd reklamy, powiadomienia i aplikacje, których nie chcieli instalować. Badacze zachęceni pobrali kopie fabrycznych ROM-ów, używanych przez producenta. Okazało się, że w większości z nich rzeczywiście znalazło się tylne wejście. Było to oprogramowanie kierowane głównie na chiński rynek.

CoolReaper potrafi wykonać kilka zadań. Przede wszystkim pobierał, instalował i aktywował dowolną aplikację dla Androida bez wiedzy użytkownika i bez informowania go o tym fakcie. Ma także możliwość powiadomienia użytkownika o dostępności fałszywej aktualizacji OTA, która tak naprawdę nie aktualizuje telefonu, ale instaluje niechciane aplikacje. W jego kompetencjach leży również wysyłanie SMS-ów i MMS-ów, dzwonienie na podany przez operatora numer oraz wysyłanie informacji osobistych na serwery firmy Coolpad. Informacje te obejmują dane urządzenia, jego położenie, wykorzystanie aplikacji oraz historię połączeń.

Analitycy, którzy badali CoolReapera, uznali, że jego możliwości wykraczają daleko poza to, co zazwyczaj instalują na naszych smartfonach producenci i operatorzy. Zdarza się, że na smartfonach znajdują się mechanizmy zbierające podstawowe informacje o sposobie ich używania, ale CoolReaper to coś więcej – zachowuje się jak klasyczny backdoor. Co więcej, producent urządzeń starał się kasować informacje o problemach ze swoimi urządzeniami z forów.

Sam Android w badanych ROM-ach również był modyfikowany. Zmiany miały na celu przede wszystkim ukrycie CoolReapera, dzięki czemu nie był tak widoczny dla programów zabezpieczających. To pierwszy przypadek złośliwego oprogramowania, kontrolowanego przez producenta, jaki został odkryty… ale z pewnością nie ostatni.

W listopadzie jeden z „białych kapeluszy” odkrył lukę w systemie kontroli CoolReapera, co pozwoliło uzyskać więcej informacji o tym, jak firma Coolpad kontroluje swoje dzieło.