Троян прямо с завода: бюджетные планшеты шпионят за вами из коробки
Представьте ситуацию: вы покупаете новенький планшет, сдуваете с него пылинки, включаете… а он уже заражен. Звучит как бред параноика? К сожалению, нет. Обычно мы сами виноваты в проблемах с безопасностью — скачиваем странные файлы или переходим по левым ссылкам. Но тут история совсем другая. Гаджеты приезжают к пользователям с неприятным «сюрпризом» прямо с конвейера.
Эксперты по кибербезопасности раскопали кое-что действительно пугающее. Оказывается, в прошивках некоторых Android-планшетов спрятан бэкдор, который поселился там еще на этапе сборки. Получается, вы платите свои кровные за шпиона, которого даже антивирусом вычистить сложно, ведь он — часть системы. Ну как вам такое «качество» сборки?
Цена и доступность в России
Упомянутый в отчете планшет Alldocube iPlay 50 mini Pro крайне популярен в России благодаря своей низкой цене и неплохому «железу». Его можно без проблем купить на маркетплейсах вроде Ozon, Wildberries или Яндекс Маркета, а также заказать с AliExpress.
Цена устройства в РФ колеблется в районе 13–16 тысяч рублей в зависимости от конфигурации памяти и наличия чехла в комплекте. Поскольку бренд китайский и ориентирован на глобальный рынок, проблем с поставками нет, и дефицита не наблюдается. Однако теперь к низкой цене добавляется высокий риск.
Особенности использования в России
Россия оказалась в числе стран с наибольшим количеством зараженных устройств. Согласно отчету, именно российские пользователи (наряду с жителями Японии, Германии и Бразилии) чаще всего сталкиваются с этим вирусом.
Ситуация осложняется тем, что многие покупают такие планшеты детям или пожилым родственникам для просмотра видео и простых игр, не заботясь о глубокой настройке безопасности. В России Google Play Protect работает, но многие пользователи по привычке отключают «лишние» сервисы для ускорения работы бюджетного планшета, чем открывают ворота для злоумышленников. Кроме того, если вы заказали версию планшета для внутреннего рынка Китая (без сервисов Google) и ставите софт вручную, вы остаетесь без защиты поискового гиганта один на один с зараженной прошивкой.
Что обнаружили эксперты?
Специалисты из «Лаборатории Касперского» выявили новый бэкдор для Android под названием Keenadu. Он не попадает на устройство после покупки, как обычные вирусы. Его встраивают прямо в «мозги» планшета во время создания прошивки.
Как только планшет включается, бэкдор внедряется в процесс Zygote. Это такой системный компонент Android, который отвечает за запуск всех остальных приложений. Получив доступ к Zygote, вирус получает практически безграничную власть над системой. Злоумышленники могут видеть всё, что происходит на экране, перехватывать данные и управлять устройством.
Исследователи говорят, что Keenadu умеет загружать дополнительные модули. Они могут подменять результаты поиска в браузере, накручивать установки приложений ради прибыли и показывать навязчивую рекламу. Поскольку вирус сидит глубоко в системе, его возможности куда шире, чем у обычной вредоносной программы.
Кто в зоне риска?
Пока что подтвержденным «носителем» заразы назван планшет Alldocube iPlay 50 mini Pro. Эксперты проверили несколько версий прошивки для этой модели, и бэкдор был везде. Самое смешное (и грустное), что вирус находили даже в обновлениях, которые вышли уже после того, как производителю сообщили о проблеме.
Файлы прошивки имели действительные цифровые подписи. Это значит, что никто не взламывал сервер обновлений. Скорее всего, вредоносный код добавили на этапе разработки софта — классическая атака на цепочку поставок.
Всего эксперты насчитали более 13 000 пострадавших пользователей по всему миру. Угрозу также связывают с другими известными семействами Android-троянов, такими как Triada и BadBox.
Что говорит Google?
После публикации отчета представитель Google поспешил успокоить общественность. По его словам, пользователи Android автоматически защищены от известных версий этого вируса с помощью Google Play Protect. Эта функция включена по умолчанию на всех устройствах с сервисами Google.
Система защиты умеет предупреждать пользователя и отключать приложения, которые ведут себя подозрительно (как Keenadu), даже если эти программы установлены не из официального магазина. Компания также заявила, что удалила из Google Play три вредоносных приложения, связанных с этой атакой.
Хорошая новость в том, что крупные бренды вроде Samsung или Xiaomi в этом скандале не замечены. Проблема касается в основном бюджетных устройств от небольших производителей («третий эшелон»). Если у вас есть недорогой планшет малоизвестного бренда, стоит проверить его антивирусом и убедиться, что защита Google Play Protect активна.
Сообщение Троян прямо с завода: бюджетные планшеты шпионят за вами из коробки появились сначала на DGL.RU - Цифровой мир: новости, тесты, обзоры телефонов, планшетов, ноутбуков.