Olcsó, kínai, trójai

Újból találtak előre telepített kártevőket Android operációs rendszert futtató telefonokon. A kártevőket a mobileszközök operációs rendszerébe építették be, azok mindenhez hozzáférnek. A G DATA már 2015-ben jelezte, hogy 26 különböző androidos telefonon vannak vírusok.

Egy orosz gyökerű biztonsági cég, a Dr. Web jelezte egy blogbejegyzésben, hogy pár kínai Android készüléken előre telepített trójai alkalmazásokat találtak. A történetben a jó hír, hogy kevésé ismert és elterjedt kínai márkákról van szó, például a Leagoo M5 Plus, Leagoo M8, Nomu S10 és Nomu S20 készülékekről.

Szabadon garázdálkodik

A kártevő neve Android.Triada, a kódot magába az operációs rendszerbe építették bele (a firmwarebe), vagyis csak úgy lehet eltávolítani, ha a teljes szoftvert újra telepítik – ezt legtöbb esetben a gyártó tudja megtenni. A trójai a libandroid_runtime.so modult veszi ellenőrzése alá. A kártevő az Android operációs rendszerkor indulásakor elinduló Zygote-ba is képes beírni magát, ami azt jelenti, hogy a trójai minden újra indításkor betölti önmagát.

A Triada bármire képes a telefonon, elsődlegesen arra lett megírva, hogy segítségével a támadók további programokat telepítsenek a készülékre a felhasználó tudta nélkül. A trójai még a készüléken futó biztonsági megoldást is képes leállítani – a képzelet szab határt az alkalmazási lehetőségeknek.

A biztonsági vállalat értesítette a gyártókat, hogy kártevővel fertőzött készülékeket hoznak forgalomba, és hogy cseréljék a szoftvert. A gyártók nem adtak ki hivatalos választ. A Leago M5 Plust itthon több kereskedő 30-40 ezer forintért forgalmazza, hasonló árkategóriába tartozik a Nomu S10 és S20 is, magyar online boltban Leago M8-at nem találtunk.

Kínába mennek az adatok

Mindezzel párhuzamosan: az Amazon ugyan nem talált vírusokat az általa is forgalmazott Blu nevű mobilon, annak forgalmazását beszüntették, miután kiderült, hogy a telefon felhasználói adatokat küld egy kínai harmadik félnek. A problémát már nyolc hónappal ezelőtt jelezték a jelenségre bukkanó Kryptowire szakemberei, vagyis azt, hogy a felhasználók üzenetei, telefonkönyve, híváslistája, a készülék egyedi azonosítóját az AdUps Technologies-nek küldi a készülék.

A vállalat egy kínai székhelyű firmware frissítéssel foglalkozó cég. A szolgáltató akkor jelezte, hogy az adatküldés hibáról van szó, és javítják a problémát. Azonban a július végi Black Hat biztonsági konferencián kiderült, a Blu telefonok három modellje továbbra is küld adatokat a kínai szolgáltatóhoz, igaz, most már sokkal kevesebbet. Válaszul az Amazon jelezte, a kérdés tisztázásáig a telefon forgalmazását felfüggeszti. A Blu Twitter bejegyzésben jelezte, az adatok a firmware frissítéséhez szükségesek, ezt az Amazon is elfogadta, és a Blu készülékek újra visszatértek az online boltba.

Nevesebb cégekkel is megesett

A G DATA elsők között, 2014-ben vizsgálta a kínai androidos telefonokat biztonsági szempontból. Akkor a Star N9500-as telefonon fedezett fel egy magát Facebook vagy Google Drive alkalmazásnak álcázott kártevőt, majd 2015-ben további 26 készüléken is megtalálta. Közöttük olyan ismert nevek is voltak, mint a Lenovo S860, a Xiaomi MI3 és a Huawei G510.

A Németországban forgalomba került készülékekre a G Data szerint nem a gyártók, hanem egy harmadik fél telepítette a kémprogramokat, mely lehetett gyakorlatilag bárki (például nagykereskedő), akinek a kezén a készülék keresztülment, amíg eljutott a vásárlókhoz.

Éppen ezért mindenkinek azt javasoljuk, hogy telefont hivatalos, magyarországi kereskedőtől vásároljon!