Chińskie smartfony z preinstalowanym malware: antywirusy są bez szans

Analitycy z antywirusowej firmy Dr. Web ostrzegają: jeślikupiliście ostatnio chiński smartfon z chińskiego sklepu, to jestwysoce prawdopodobne, że w jego firmware osadzono trojanaTriada.231, pozwalającego przeniknąć procesy wszystkichuruchomionych aplikacji, a także potajemnie pobierać i uruchamiaćdodatkowe moduły. Niewykluczone więc, że kupiony w atrakcyjnejcenie nowy smartfon wcale nie należy do Was, lecz jakiegośchińskiego botmastera.

Użytkownik nie ma żadnych szans. W smartfonach marek takich jakLeagoo (modele M5 Plus oraz M8) oraz Nomu (S10 i S20) znalezionozmodyfikowaną bibliotekę systemową libandroid_runtime.so, w którejosadzono infekujący demona Zygote trojanz rodziny Triada. Dzięki infekowaniu Zygote, trojany z tej rodzinyosadzają się w procesach wszystkich uruchomionych aplikacji,uzyskując wszystkie ich uprawnienia. W zwyczajnych infekcjach musząone oczywiście uzyskać wpierw uprawnienia roota, co wcale nie jestłatwe – ale gdy trojan jest już preinstalowany w urządzeniu, niema przed nim żadnych barier.

Trudno powiedzieć, czy winę za osadzenie malware w systemowejbibliotece ponosi sam producent, czy też jacyś resellerzy. Ważnejest to, że na każdym zainfekowanym telefonie, po pierwszymuruchomieniu trojan tworzy swoje środowisko robocze, przechwytujejedną z metod systemowych pozwalających na śledzenie aktywnościinnych aplikacji i natychmiast rozpoczyna swoją złośliwądziałalność – zaczyna pobierać zaszyfrowane paczki ze złośliwymkodem, deszyfruje je, uruchamia i usuwa z urządzenia.

Do tej pory powstały setki takich modułów. Wiele z nichprzeznaczonych jest do przejmowania aplikacji bankowych czy klientówserwisów społecznościowych. Jest to tym bardziej skuteczne, żetak działających szkodników nie wychwyci żaden antywirus, żadenantywirus nie zdoła też usunąć ich z systemu. Jedynym sposobem naodzyskanie kontroli nad urządzeniem, jest wgranie na niegobezpiecznego ROM-u – o ile taki znajdziecie.

Oferowane bowiem przez producentów obrazy firmware wcale niemuszą być bezpieczne, szczególnie w wypadku tych mniej znanychmarek. Pokazuje to historia smartfonów firmy BLU, które właśniezostały zakazane na Amazonie. W listopadzie zeszłego roku badacze zfirmy Kryptowire odkryli, że zawierają one preinstalowane spywarefirmy Shanghai Adups Technology, zbierające dane użytkowników iwysyłające je na serwery w Chinach. BLU obiecało wówczas jaknajszybciej usunąć złośliwą aplikację i zaprzestać zbieraniadanych. Nie na długo to pomogło – podczas ostatniej konferencjiBlack Hat zademonstrowano, że przynajmniej trzy nowe modelesmartfonów BLU zawierają preinstalowane spyware.

Jeśli więc poszukujecie jakiegoś taniego smartfonu z Chin,najlepiej jest sprawdzić, czy łatwo jest wgrać na niego niezależneod producenta firmware, np. ROM-y rozwijane przez społecznośćXDA-developers.Zaoszczędzenie kilkunastu dolarów na kompletnie nikomu nieznanychmodelach, z „czystymi” Androidami nieznanego pochodzenia, możebyć jednym z najpoważniejszych i najkosztowniejszych błędów,jakie popełnimy.