12:28
7/6/2019

Na czterech modelach smartfonów znalazł się preinstalowany malware, praktycznie nie do usunięcia jeśli producenci nie dostarczą odpowiednich aktualizacji – ostrzega niemiecka agencja BSI. Również Google odniosła się w ostatnich dniach do problemu instalowania trojanów na etapie produkcji i wyjaśniła jak obecnie do tego dochodzi.

Już w roku 2014 pisaliśmy o tym, że niektóre tanie smartfony z Androidem mogą mieć preinstalowanego trojana. Gdybyście pytali, czy coś się w tej kwestii zmieniło to niestety musimy was poinformować, że nie.

20 tys. użytkowników zainfekowanych w Niemczech

BSI*, niemiecka agencja federalna odpowiedzialna za bezpieczeństwo informacyjne, poinformowała o znalezieniu złośliwego oprogramowania na 4 tanich modelach telefonów: Doogee BL7000, M-Horse Pure 1, Keecoo P11 oraz VKworld Mix Plus. Urządzenia zbadane przez BSI były kupione online z różnych źródeł. Niemiecka agencja szacuje, że nawet 20 tys. osób może posiadać telefony ze złośliwym oprogramowaniem.

Doogee BL7000 - zdjęcie

Jeden z zainfekowanych modeli Doogee BL7000

Malware zainstalowany na tych telefonach to zidentyfikowany w roku 2018 przez firmę Sophos Andr/Xgen2-CY. Jest zaszyty w firmwarze urządzenia, więc jego samodzielne usunięcie przez użytkowników raczej nie wchodzi w grę. W przypadku urządzenia Keecoo P11 dostępna jest aktualizacja firmware’u usuwająca problem. Pozostali producenci takich aktualizacji nie wydali.

Oprogramowanie może zbierać dane takie jak IMEI, informacje o lokalizacji, informacje o operatorze, adresie MAC urządzenia i in. Następnie przesyła te dane na serwer C&C, a po “zarejestrowaniu” urządzenia może pobierać i instalować aplikacje, usuwać aplikacje i wykonywać polecenia powłoki. Może być też zdolne do otwierania dowolnych URL-i w przeglądarce.

W najbardziej skrajnym przypadku można sobie wyobrazić podrzucenie trojana bankowego na urządzenie.  BSI powiadomiła niemieckich operatorów o niebezpiecznych urządzeniach w ich sieciach, oni zaś mogą ostrzec użytkowników. Spytaliśmy polskich operatorów, czy otrzymywali jakiekolwiek informacje o podobnych problemach. Czekamy na odpowiedzi.

Znany problem

Jak już wspomnieliśmy, smartfony z Androidem i preinstalowanym malware nie są zjawiskiem rzadkim. Warto tu przytoczyć choćby raport Dr.Web z końca roku 2016, który wykazał obecność trojana Android.DownLoader.473.origin na 26 modelach telefonów.

Dwa lata później Dr. Web wydał kolejną analizę na temat innego trojana – Android.Triada.231 – znalezionego na… 40 modelach telefonów.

Jak Triada trafiała na telefony?

Zwrócimy waszą uwagę na drugi ze wspomnianych raportów Dr.Web. Dotyczył on trojana Triada, który przez firmę Kaspersky Lab został uznany za jedno z bardziej zaawansowanych zagrożeń mobilnych. Po zainstalowaniu na telefonie Triada może instalować różne aplikacje, jak i może być użyta do wyświetlania reklam (jej twórcy zarabiają właśnie na tym). Triada jest wyposażona w narzędzia do obchodzenia zabezpieczeń wbudowanych w Androida i praktycznie może wpływać na działanie każdej zainstalowanej na urządzeniu aplikacji. W przeszłości zidentyfikowano co najmniej 17 serwerów C&C tego oprogramowania.

Tak się złożyło, że wczoraj na Google Security Blog znalazł się artykuł Łukasza Siewierskiego poświęcony właśnie Triadzie. Z tego artykułu dowiemy się jak dochodzi do infekowania telefonów na etapie produkcji.

Czasami producenci OEM chcą włączyć do swoich urządzeń funkcje, które nie są częścią otwartego projektu Androida (np. odblokowywanie telefonu na podstawie twarzy). Producent może się dogadać z firmą trzecią, która opracuje odpowiednie funkcje i dostarczy producentowi cały obraz systemu z wbudowaną upragnioną funkcją.

Wykres

Google stara się współpracować z OEM-ami dostarczając m.in. aktualizacje systemu usuwające trojana. Firma stara się też skanować urządzenia pod kątem Triady i podobnych zagrożeń. Producenci mogą w tym pomóc jeśli zapewnią, że kod pochodzący od innych dostawców zostanie przeanalizowany i da się namierzyć jego źródła. Najlepiej byłoby przeprowadzać testy bezpieczeństwa zanim kod od firmy trzeciej trafi na sprzęt, ale najwyraźniej ta praktyka nie jest jeszcze standardem. W artykule na blogu Google nie padły nazwy producentów, którym Google ostatnio pomagała w rozwiązaniu problemu.

Choć problem preinstalowania trojanów na telefonach kojarzy się z małymi producentami to warto pamiętać, że dużym i znanym firmom też może się zdarzyć wypuszczenie na rynek urządzenia podsłuchującego użytkownika.

* – Jeśli koniecznie musicie wiedzieć to informujemy, że BSI jest skrótem od Bundesamt für Sicherheit in der Informationstechnik 

Przeczytaj także:

55 komentarzy

Dodaj komentarz
  1. xd

  2. W akapicie “Znane problemy” jest błąd w pierwszym zdaniu: “Adnroidem” :)

  3. Int’s not a virus.. it’s feature. Telefon z wbudowanym darmowym MDM’em. Inni każą sobie słono płacić :)

  4. “znalezieniu złośliwego oprogramowania na 4 tanich modelach telefonów: Doogee BL7000, M-Horse Pure 1, Keecoo P11 oraz VKworld Mix Plus. Urządzenia zbadane przez BSI były kupione online z różnych źródeł.” – i co z tego? Tanie telefony kupują ludzie biedni albo kupuje się je dzieciom, więc problemu nie ma.

    • Dziecko czy biedna osoba nie zasługuje na podstawowe bezpieczeństwo?

    • Biedny to ty jesteś, prosty człowieczku z empatią na poziomie muchy domowej.

    • Wiadomka. Co NAS INFORMATYKÓF interesują ludzie biedni? My przebieramy w ofertach i sie brzydzimy biedotą.
      Ten artykuł to strata naszego cennego czasu…
      LOL

  5. PKP, po prostu PKP. Niektóre z wymienionych telefonów (szczególnie te z testów Dr. Web) bywały całkiem popularne, niektórzy chwalili, a tu taka wpadka. Widać wyraźnie, że ci producenci, to żadni producenci, należy omijać szerokim łukiem, może nawet ban w UE na sprzedaż wszystkich modeli by się przydał. Taki Huawei jest przy nich wzorem cnót i prawdomówności…

    • Dla leniwych, można podać parę przykładów. Z tych znanych w Polsce, to m.in.: Umi London, Kiano Elegance 5.1, myPhone Hammer Energy, Cubot Rainbow, Prestigio Grace M5 LTE – w tych modela wykryto oprogramowanie szpiegujące.

    • Alojzy, jakieś źródło? Niektóre z tych telefonów są nadal w sprzedaży w Polsce

    • @alojzy Hammery ponoć nie mają tego problemu już od dawna, po aktualizacji w 2016: https://techpolska.pl/android-twoim-telefonie-moze-miec-groznego-trojana/

  6. Phi… mozna tak podsluchwiwac userow. Inni kupuja Alexe zeby to miec ;p

    • Prawda

  7. Witam, czy niebezpiecznik planuje napisać art na temat “Służbom ze sojuszu Five Eyes nie udało się złamać szyfrowania VeraCrypt .” ? Temacik bardzo świeży :> proszę zaakceptować komentarz ponieważ może kogoś zainteresuje ten temat

    • Faktycznie warto by było wspomnieć. Mam nadzieje że ta informacja nie przyczyni się do końca projektu vc.

    • Czytałem o tym. Jeśli VeraCrypt rzeczywiście oparł się Służbom Pięciorga Oczu, to fantastyczna wiadomość, niestety trzeba do tego podchodzić bardzo sceptycznie. I to wcale nie ze względu na jakąś słabość czy tylną furtkę w programie, bo jak dotąd nic takiego nie znaleziono. Równie dobrze może to być informacja fałszywa, albo wręcz podana przez kogoś z tych służb. Problem w tym, że jeśli myślisz jak NSA czy inna organizacja i uda ci się złamać popularne szyfrowanie, nie biegniesz się tym chwalić, tylko właśnie starasz się upewnić wszystkich o jego bezpieczeństwie, żeby nie przenieśli się na jakieś inne rozwiązanie.

      Możliwy jest też inny scenariusz: facet rzeczywiście pisał prawdę, taką, jaką znał. W rzeczywistość służbom udało się uzyskać dostęp do danych (choćby zdobywszy hasło w czasie inwigilacji poprzedzającej konfiskatę dysków), ale stwierdziły, że ma on dla nich za małe znaczenie, żeby ryzykować ujawnienie pełni swoich możliwości w łamaniu szyfrów. Postanowiły wypuścić jedną płotkę, w zamian zyskując świetną zasłonę dymną, zachęcającą wiele osób do korzystania ze skompromitowanego programu. Ta opcja z punktu widzenia służb jest lepsza od poprzedniej, bo najlepszym i najbardziej wiarygodnym kłamcą będzie taki, który nie ma pojęcia, że kłamie.

    • policja starała sie dobrac do zaszyfrowanych dysków i w nagrodę ze nie udało sie mu postawić zarzutów (dysków nie odszyfrowano) napisał ze przeleje za to duzą sumę pieniędzy i faktycznie do portfelu veracrypt wpadło 1.15 BTC https://www.blockchain.com/btc/address/1NRoPQsm8by5iWyMMmHQy3P5takur3kYgG

    • policyjny portal przecież nie będzie pisał o tym że policji się coś nie udało

  8. Miałem w rodzinie podobny przypadek z myPhone fun 5. Wirus pobierał aplikacje, wyświetlał reklamy, wysyłał smsy premium itp. Reklamacja była drogą przez mękę. Kilkukrotnie telefon wracał z serwisu, a wirus wciąż działał. Całe szczęście, że udało się zwrócić telefon w ramach rękojmi.

  9. Klasyka gatunku, miałem Doogee, co jakiś czas sam się uruchamiał ekran, nagle sama odpalała się przeglądarka, nie piszę już o totalnym zamuleniu telefonu, który miał 1 giga pamięci. Na szczęście zestaw firewall (identyfikacja, że jakieś dziwne połączenia są ciągle), potem zainstalowanie zmodyfikowanego ROM-u z czystym systemem bez wszelkich nakładek, rzekomo preinstalowanych programików, zdecydowanie pomogło i dało drugie życie temu smartfonowi. Dziwię się, jak można systemowo taki badziew instalować i spowalniać telefon.

  10. Kiano w serwisie usuwa fabryczne trojany

    • nie usuwa, 3 razy wysyłaliśmy i nic nie wywalili
      Kiano Elegance 5.1 Pro

  11. A gdzie porada co robić, jak żyć ?

    • Proste, kupuje się normalne marki, ja na Google Pixela na pewno nic nie złapię…

  12. “informujemy, że BSI jest skrótem od Bundesamt für Sicherheit in der Informationstechnik ”
    czyli niemiecka bezpieka.

  13. Nie trzeba telefonu z Androidem. Wystarczy Windows 10. W tym systemie też jest jakiś trojan. Pomimo ciągłego usuwania, na nowo instaluje mi różne gry i niepotrzebne bloatware. Ale bardziej na poważnie – w jakiś sposób musimy zapłacić za to, że coś jest (prawie) za darmo.

    • @szymon

      Wg mnie kluczowe byłoby, żeby kupujący był rzetelnie poinformowany, co konkretnie dostaje za ile konkretnie kasy. Coś jak w przypadku licencji na usługi – za free masz A i B, i wyświetlamy ci reklamy i zbieramy dane; za opłatę poziomu 1 masz A, B i C, nie wyświetlamy ci reklam i zbieramy dane, za opłatę poziomu 2 masz A, B i C, bez reklam i zbierania danych, za opłatę poziomu 3 masz A, B, C, D, E, F, bez reklam, zbierania danych … itd. (oczywiście w przypadku niektórych usług deklaracje różnią się od rzeczywistości, ale chwilowo mówię o modelu nie jego konkretnych instancjach).

  14. Przecież wszędzie instalują Facebooka :)

  15. Bo lepiej mieć trojana zwanego Google, niż każdego innego ;)

  16. MIAŁEM TELEFON JIAYU JYG2F I MIAŁ WIRUSA W LAUNCHERZE!!!!!

  17. Jeździsz nowym Volvo, Audi czy BMW z 2018 roku? Bo jeśli nie to nie pitol o bezpieczeństwie.

  18. Skoro ktoś kupuje taki sprzęt, to na bezpieczeństwie mu nie zależy.
    A co możesz takiej osobie zrobić? Znasz jakieś przypadki, bo ja nie słyszałem.
    Nawet podstawowe bezpieczeństwo, cokolwiek to znaczy, to kosztowna sprawa.

    • Hej @John Sharkrat.

      Wg mnie haczyk w tym, że “ci co kupują taki sprzęt”, nawet nie wiedzą że mogą być różne poziomy bezpieczeństwa. Tzn traktują każdy jeden sprzęt, że jest bezpieczny / porządnie zabezpieczony – że producent o to zadbał (ha ha ha).

      Ja to z załamką / przerażeniem / zimną obojętnością (zależnie od dnia) obserwuję z przeciwnego bieguna (tego, na którym żaden sprzęt nie jest wystarczająco bezpieczny).

      Ale czasem tzw. obowiązki zawodowe zmuszają mnie do bezpośredniego macania się z problemami tych osób, którym nie zależało na bezpieczeństwie aż do momentu takiej czy innej katastrofy ;) Po katastrofie trafiają do mnie a ja usuwam skutki i doprowadzam do odtworzenia działającej infrastruktury. Nie przepadam za tym, ale w miarę umiem i/lub douczam się na bieżąco do danej sytuacji. Teoretycznie powinno mnie cieszyć, że ludzie nieustannie kupują chłam, bo mam wtedy więcej roboty ;) Tyle, że widzę jakby syzyfowość i powtarzalność tych prac, co mnie w sumie nudzi.

    • @stukot
      “że “ci co kupują taki sprzęt”, nawet nie wiedzą że mogą być różne poziomy bezpieczeństwa.” – to znaczy że ich bezpieczeństwo nie dotyczy. To samo dotyczy tych, którzy używają markowego sprzętu, bez wirusów i bez aktualizacji.

      “zależnie od dnia) obserwuję z przeciwnego bieguna (tego, na którym żaden sprzęt nie jest wystarczająco bezpieczny)” – czy sprzęt jest bezpieczny zależy w głównej mierze od najsłabszego ogniwa, czyli użytkownika.

      “Tyle, że widzę jakby syzyfowość i powtarzalność tych prac, co mnie w sumie nudzi.” – gdyby nie ta syzyfowość, to nie miałbyś co do gara włożyć.

    • @John Sharkrat

      Z tym wkładaniem do gara to masz wiele racji :D Czasem by się po prostu chciało przy rozwojowych projektach popracować, albo tworzeniu zabezpieczeń, a nie tylko – gasić pożary i wypompowywać wodę z piwnicy. Problem w tym, ciągnąc analogię, że standardowo ludzie znajdują kasę na to żeby im ktoś wypompował wodę z zalanej piwnicy, a na remont instalacji ZANIM im wszystko zaleje – zwykle nie.

  19. Normalka, nawet Biedronka sprzedawała tablet MyTab10q Premium z trojanami i wirusami.
    /mnt/app/SmsReg.apk
    /mnt/app/SmsReg.odex
    /mnt/app/GoogleProvider.apk
    /mnt/priv-app/XBKP.apk
    Po wyciągnięciu z pudełka, połączeniu z internetem, wrzuceniu pobraniu jakiejś gierki z GooglePlay i daniu dziecku do zabawy, po jakimś czasie dziecko oglądało roznegliżowane reklamy pornostron a po uruchomieniu przeglądarki wchodziło na takie automatycznie. Co jeszcze robiły te programy.. nie wiem.
    Jedyna możliwość usunięcia tego, to z obrazu ROM usunąć te pliki i wgrać w urządzenie, co też uczyniłem. Swoją drogą wytrzymałe urządzenie, tyle razy spadło lub wręcz było ciśnięte o podłogę i oprócz połamanej zaślepki kart SIM wszystko do dziś działa.

  20. > samodzielne usunięcie przez użytkowników raczej nie wchodzi w grę
    A to dlaczego niby? Ja rozumiem, że “wiedza kosztuje”, ale im więcej posiadaczy androidowych słuchawek będzie wiedziało, co to AOSP, LineageOS i w ogóle alternatywne kompilacje androida, tym lepiej.

    • @Lukasz032

      Co do ogólnego kierunku się z Tobą zgadzam, ale z autopsji i obserwacji, to jeśli ktoś zna alternatywne wersje, często woli je stawiać na starszym sprzęcie o lepszych parametrach niż te opisane modele, tyle że z drugiej ręki (po gwarancji). Te podstawki z artykułu to najczęściej rzeczywiście u dzieci lub emerytek widzę i to jest oczywiście słabe, bo userzy o najniższych skillach (chociaż pewnie nie doceniam dzieci) używają sprzęt fabrycznie zainfekowany, utwierdzając się że nic nie umieją, bo tel im robi co chce ;-/

    • sprawny lineageos czy self-compiled aosp na jakichś mediatekowcach bez źródeł?

    • Mając ruta spokojnie pozbędziesz się preinstalowanych apk raz na zawsze, nawet pozbędziesz się ich z init.rc

      Problem pojawia się gdy lemingi będą chciały w ten sam sposób pozbyć się np. fejsika…. dlatego gugle nie rekomenduje takich rozwiązań.

  21. Czy istnieje jakaś niezależna lista producentów, którzy zniżyli się do instalacji trojanów na swoim sprzęcie i nie udostępniają użytkownikom żadnych sposobów uporania się z takim dodatkiem?

    Co oznacza, że zrobili to celowo, jakby się kto pytał.

    • Może taką stworzyć? Tak czytając powyższe posty i z własnego przypadku myPhone często się powtarza.

    • myPhone jest tu dlatego, że kupują najtańsze możliwe urządzenia od producentów, zamawiają tylko swoje logo, *po prostu* nie zwracają uwagi na firmware (choć w przeciwieństwie do np. Kiano potrafili wydać aktualizację usuwającą takowe)

  22. Android to jeden wielki trojan.

  23. Google samo sobie winne. Zamiast zatrudnić programistów lata temu aby wyprostowali te wszystkie bootloadery to zatrudnili hackerów którzy całość tego procesu skomplikowali do granic możliwości i absurdu. Wydawało by się że nie ma nic prostszego niż odpalić podpisany kernel a tu się okazuje że jeśli można coś spieprzyć to dobrze opłacani eksperci dadzą radę to i znacznie więcej. Całość mechanizmu bootowania Androida to jakiś kosmiczny żart, bez sensu posklejane jakieś prymitywne technologie, hardware chronione NDA i tym podobne idiotyzmy, każdy producent robi po swojemu, najczęściej odwalając byle jak. Na koniec okazuje się że kupiłem hardware, znalazłem trojana i nie mogę go usunąć a miszczofie z Google mogą sobie tylko ponarzekać jak to złe chińczyki dorzucają im trojany do ich wspaniałego zbioru śmieci nazywanych Androidem. Kolejna wtopa w IT z gatunku “hurra, po co komu projektanci, robimy słodkie ikonki i ciemny motyw!”.

    Ciekawy jestem kiedy doczekam się OSa projektowanego z użyciem mózgu, potrafiącego samodzielnie określić swoją spójność. Ostatnie 30 lat wskazuje że nigdy a ilość kasy wpompowanej w taki projekt i tak na koniec spowoduje tylko wysypanie się kolorowych ikonek bazujących na jakimś makro kernelu zlepionym gumą do żucia z resztą kodu napisaną w jakimś języku o śmiesznej nazwie.

    • Kolejny z efektem Dunninga-Krugera.

    • Samodzielne określenie spójności jest nie możliwe. Zawsze można usunąć część kodu sprawdzającą spójność

    • “Zawsze można usunąć część kodu sprawdzającą spójność”. Współczuje. Słyszałeś kiedyś o pamięci ROM? Najlepiej takiej wypalonej wprost w krzemie CPU co jest obecnie powszechną praktyką robiena niełamalnego chain of trust.

      Tak, potrafimy ocenić spójność systemu. W 100%. Tylko system opracyjny nie może być pisany przez dyletantów a więc prawie na pewno nie może to być makro kernel typu linuxowego.

      Jesli chcesz przykładu to proszę: dowolna współaczesna konsola do gier ogarnia to co inżynierom google nie przyszło przez naście lat do głowy.

    • Kernel linuxa jest mikrolityczny!!!

    • @Sebo A no tak. Karteczka nie wymieniać chipa wszystko załatwi.

  24. Kolejny internetowy psycholog.

    Zauważ misiaczku że ten portal czytają ludzie którzy zęby zjedli na detalach bootloaderów, konstrukcji OSów od strony której Ci się nie śniło że istnieje. Na nich wrzeszczenie o jakimś “Amejzing” nie robi wrażenia kiedy okazuje że że całość projektu od dołu posklejana jest byle jak na kolanie mimo że od kilkudziesięciu lat wiemy ja to zrobić dobrze. Google ma w Androidzie spieprzony system sterowników tak jak wszystkie współczesne OSy i nic się z tym nie da zrobić a przynajmniej nie tanio bo na to był czas jak kupowali Android Inc. Na PC to może nie przeszkadzało, ale na telefonie to krytyczny problem. Mineło już 15 lat, naprawdę był czas na naprawę a tutaj jakaś firma wysyła filesystem do inne firmy aby im wsadzili sterownik. Na Peruna, średniowiecze w pełnym rozkwicie! I mówimy o firmie która nie wie co ma robić z kasą.

  25. Mój tata wysłał 3 razy Kiano Elegance 5.1 Pro ze zmodyfikowaną wersją aplikacji YT (pobierała inny syf) do serwisu, zupełnie nic nie usunęli z oprogramowania. Piszą tam jakieś głupoty, że niby ich firmware jest certyfikowany przez Google… XD
    Swoją drogą, urządzenia firmy UMI, która go wyprodukowała mają to samo…

    • Kernel linuxa jest mikrolityczny!!!

  26. Mój znajomy takowy smartfonik miał, kupił mu go inny znajomy gdzieś w sieci. Poleciłem mu wyrzucić to coś, posłuchał na szczęście.

  27. Ale w tu Baydurzycie….. :).Aby promować “AleDrogo”,a sami zamawiacie z Chin i sprzedayecie z “GiGaPrzebitką” sprzęt z Chin 270zeta razem z dostawą,a na “AleDrogo” 470?Plus Dostawa(ten sam model)…Coś tu nie chalo…? :).A do meritum ja to robię tak…jeśli chodzi,że jak coś nie chalo z Os-em.Zdeymuje bootloader i flash…(z wybranym przezemnie Os-em pod konkretny model)i tyle w temacie…. ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: