Miliony telefonów komórkowych mogą być wstępnie zainfekowane złośliwym oprogramowaniem – twierdzą analitycy Trend Micro z firmy Black Hat Asia. Trafiło ono do tych urządzeń przed opuszczeniem przez nie fabryki.
Na całym świecie są co najmniej miliony telefonów, które zostały zainfekowane złośliwym oprogramowaniem układowym jeszcze przed opuszczeniem fabryk. Tak przynajmniej twierdzą analitycy Trend Micro z Black Hat Asia. Ten sprzęt to głównie tanie urządzenia mobilne z Androidem. Wszystko przez zlecanie wykonywania różnych podzespołów do zewnętrznych firm, co umożliwia na etapie produkcji wgrywać do nich oprogramowanie układowe "zarażone" złośliwym kodem. Badacze scharakteryzowali to zagrożenie jako rosnący problem dla zwykłych użytkowników i przedsiębiorstw.
Fiodor Yarochkin z Trend Micro porównał proceder do płynu pochłaniającego drzewo: umieszczasz infekcję u korzenia, a ona rozprzestrzenia się wszędzie, na każdą konar i liść.
Wprowadzenie złośliwego oprogramowania rozpoczęło się, zdaniem badaczy, gdy spadła cena oprogramowania układowego telefonów komórkowych. Konkurencja między dystrybutorami oprogramowania układowego stała się tak zaciekła, że ostatecznie dostawcy nie mogli pobierać pieniędzy za swój produkt.
Nie ma jednak nic za darmo. W wyniku tej ostrej konkurencji oprogramowanie układowe zaczęło mieć niepożądaną funkcję – ciche wtyczki. Zespół przeanalizował dziesiątki obrazów oprogramowania układowego w poszukiwaniu złośliwego oprogramowania. Znaleźli ponad 80 różnych wtyczek, chociaż wiele z nich nie było szeroko rozpowszechnionych. Niektóre wtyczki miały zbudowany wokół siebie model biznesowy, z "podziemną" sprzedażą oraz marketingiem w miejscach takich, jak Facebook, blogi czy YouTube.
Celem złośliwego oprogramowania jest kradzież informacji lub zarabianie pieniędzy na zebranych lub dostarczonych informacjach. Złośliwe oprogramowanie zamienia urządzenia w serwery proxy, które służą do kradzieży i sprzedaży wiadomości SMS, przejmowania kont w mediach społecznościowych i komunikatorach internetowych oraz wykorzystywane jako możliwości zarabiania poprzez reklamy i oszustwa związane z kliknięciami.
Jeden rodzaj wtyczek, wtyczki proxy, umożliwiają przestępcy "wypożyczanie" urządzeń na okres do około pięciu minut na raz. Osoby przejmujące kontrolę nad sprzętem mogą uzyskiwać dane dotyczące naciśnięć klawiszy, lokalizacji geograficznej, adresu IP itp. Zespół znalazł też wtyczkę do plików cookie Facebooka, która była używana do zbierania aktywności z aplikacji Facebook.
Na podstawie danych telemetrycznych badacze oszacowali, że na całym świecie istnieją co najmniej miliony zainfekowanych urządzeń, ale są one skupione przede wszystkim w Azji Południowo-Wschodniej i Europie Wschodniej. Statystyka podana przez samych przestępców, jak twierdzą naukowcy, wynosiła około 8,9 miliona. Nie wiadomo dokładnie skąd pochodzą opisane wyżej zagrożenia, ale w prezentacji na ich temat wiele razy pojawiły się... Chiny. To tam produkowana jest większość sprzętu, z którego korzystamy, w tym wytwory największych producentów telefonów.
Chociaż prawdopodobnie znamy ludzi, którzy budują infrastrukturę dla tego biznesu, trudno jest dokładnie określić, w jaki sposób ta infekcja dostaje się do tego telefonu komórkowego, ponieważ nie wiemy na pewno, w którym momencie dostała się do łańcucha dostaw.
– powiedział Fiodor Yarochkin z Trend Micro
Zespół potwierdził, że złośliwe oprogramowanie zostało znalezione w telefonach co najmniej 10 dostawców, ale prawdopodobnie dotyczyło to również około 40 kolejnych. Według badaczy, by uniknąć zainfekowanych telefonów komórkowych, trzeba przejść na "wyższy poziom" i trzymać się dużych marek i droższych produktów. Nie daje to jednak gwarancji bezpieczeństwa.
Duże marki, takie jak Samsung, jak Google, stosunkowo dobrze dbały o bezpieczeństwo swojego łańcucha dostaw, ale dla cyberprzestępców jest to wciąż bardzo lukratywny rynek.
– dodał Yarochkin
Zobacz: Oszukali Apple. Do App Store trafiły złośliwe aplikacje
Zobacz: Pendrive pułapka. Wygląda zwyczajnie, ale skrywa groźny sekret
Źródło zdjęć: Shutterstock
Źródło tekstu: The Register
