Спецыялісты Федэральнага ўпраўлення па інфармацыйнай бяспекі Нямеччыны выявілі на некалькіх мадэлях кітайскіх смартфонаў небяспечны бэкдор. Ён быў убудаваны ў працэсе іх вытворчасці, што значна ўскладняе яго выдаленне.

Вредонос знойдзены ў прашыўках смартфонаў Doogee BL7000, M-Horse Pure 1, Keecoo P11. У VKworld Mix Plus ён усталяваны, але не актываваны. Усе гэтыя мадэлі ставяцца да нізкабюджэтны сегменту.

Гаворка ідзе пра траяне Andr / Xgen2-CY, які ўпершыню ідэнтыфікаваны ў кастрычніку 2018 года спецыялістамі Sophos Labs. У той час гэты вредонос хаваўся ў дадатку SoundRecorder, прадусталяваным на смартфоне Ulefone s8 Pro.

Andr / Xgen2-CY праектаваўся як неудаляемое бэкдор. Ён актывуецца пры першым уключэнні смартфона, пасля чаго яго немагчыма адключыць або выдаліць. Вредонос атрымлівае доступ да канфідэнцыйнай інфармацыі і перадае хакерам наступныя дадзеныя:

  • Нумар тэлефона
  • Інфармацыя пра месцазнаходжанне
  • Ідэнтыфікатары IMEI і Android ID
  • дазвол экрана
  • Вытворца, мадэль, марка, версія Android
  • Марка працэсара
  • тып сеткі
  • MAC-адрас
  • Аб'ём сталай і аператыўнай памяці
  • Аб'ём SD-карты
  • Мова і краіна
  • Аператар мабільнай сувязі

Далёкі сэрвэр можа аддаваць вредоносов розныя каманды:

  • Спампаваць і ўсталяваць прыкладанне з дапамогай запампаванага APK-файла
  • Выдаліць любы усталяванае прыкладанне
  • Выканаць shell-каманду
  • Адкрыць адрас у браўзэры

Эксперты Федэральнага ўпраўлення па інфармацыйнай бяспекі сцвярджаюць, што вредонос надзейна замацаваны ў прашыўцы смартфонаў, таму карыстальнік не можа самастойна выдаліць яго, нават калі скіне АС да заводскіх налад. Штодня да кіраўнікам серверам Andr / Xgen2-CY звяртаюцца як мінімум 20 тысяч смартфонаў. Патч, прыбірае з прашыўкі шкоднасны код, выпусціў толькі вытворца смартфона Keecoo P11, а астатнія кампаніі праігнаравалі праблему.

У недарагіх смартфонах кітайскіх вытворцаў і раней знаходзілі неудаляемое шкоднасны код. Раней ён, як правіла, дадаецца рэсэлерам, якія здабывалі дадатковы даход ад паказу рэкламных банэраў і адпраўкі SMS на платныя нумары. Да нядаўніх часоў вытворцы не былі заўважаныя ў перадусталёўцы вірусаў на свае гаджэты.



lunapic.ru ў Telegram - t.me/igmedia
lunapic.ru ў Яндекс.Дзен - zen.yandex.ru/lunapic.ru