Miliony telefonów z systemem Android i zestawów do odbioru telewizji z AndroidTV mogą mieć preinstalowane złośliwe oprogramowanie, którego użytkownicy wcale tak łatwo nie usuną - ostrzegają badacze cyberbezpieczeństwa w dwóch niezależnych raportach.
Bezpieczeństwo urządzeń z Androidem od dawna jest znaczącym problemem w branży - i nie chodzi tu o sam system operacyjny od Google'a, ale przede wszystkim o problemy platformy do dystrybucji oprogramowania Google Play z eliminacją złośliwych aplikacji, które pojawiają się na niej jak grzyby po deszczu i bardzo często przedostają się przez sito zabezpieczeń .
Najnowsze złe informacje dotyczą przede wszystkim użytkowników tańszych urządzeń z Androidem - telefonów i zestawów do odbioru TV. Według badaczy cyberbezpieczeństwa m.in. z firmy Trend Micro, Sophos i organizacji Electronic Frontier Foundation.
Problem tańszych telefonów
Zdaniem ekspertów z firmy Trend Micro, nawet 50 różnych marek smartfonów może dystrybuować obecnie urządzenia, które mają preinstalowane złośliwe oprogramowanie. Problem dotyczy nawet 8,9 mln gadżetów.
Złośliwe oprogramowanie to Guerilla. Zostało znalezione w 15 złośliwych aplikacjach, które przedostały się przez zabezpieczenia platformy Google Play i są na niej dystrybuowane. Co potrafi to malware? Przede wszystkim - tworzy tylną furtkę, która jest wykorzystywana do komunikacji zainfekowanego urządzenia z serwerem kontrolowanym przez cyberprzestępców, nieustannie poszukując nowych aktualizacji.
Aktualizacje te mogą gromadzić dane na temat użytkowników, które następnie - gdy trafią w ręce hakerów z ugrupowania Lemon Group - są sprzedawane reklamodawcom. Guerilla potrafi też instalować kolejne złośliwe oprogramowanie - agresywne adware, które zużywa baterię w telefonie użytkownika i znacznie osłabia jego zasoby, a tym samym psuje doświadczenie korzystania z urządzenia - opisuje wnioski Trend Micro serwis Ars Technica.
Inną możliwością Guerilli jest przejmowanie sesji użytkownika w komunikatorze WhatsApp i wysyłanie z niego nieautoryzowanej korespondencji, jak i np. wstrzykiwanie złośliwych reklam do zaufanych aplikacji. Jak dodają specjaliści, najwięcej zainfekowanych tym oprogramowaniem telefonów znaleziono w USA, Meksyku, Indonezji, Tajlandii i Rosji.
Zainfekowane telewizory
Problemem są również niedrogie zestawy do odbioru telewizji z systemem AndroidTV dystrybuowane za pośrednictwem Amazona, a produkowane przez dwie chińskie firmy - AllWinner i RockChip. Spółki te wypuściły na rynek kilka modeli urządzeń, które - jak pisze serwis Tech Crunch - są relatywnie tanie i można je dostosować do swoich potrzeb, np. konfigurując je do odbioru treści z kilku serwisów streamingowych i usług telewizyjnych jednocześnie, bez konieczności posiadania oddzielnego dekodera dla każdej z nich.
Urządzenia cieszą się na Amazonie dobrymi ocenami od konsumentów , zatem budzą zaufanie - jak się okazało - niesłusznie. Zestawy zawierają bowiem złośliwe oprogramowanie, które może służyć do prowadzenia skoordynowanych zdalnie cyberataków.
Zestaw do telewizji łączy się z botnetem
Sprawa zaczęła się od jednego z klientów, który kupił zestaw do TV firmy AllWinner. Jak się okazało, po podłączeniu go do sieci, sprzęt od razu połączył się z tysiącami innych urządzeń zainfekowanych złośliwym oprogramowaniem, wchodzących w skład dużego botnetu, przeznaczonego do prowadzenia skoordynowanych cyberataków.
Spostrzeżenia klienta, który sam dokonał takiego odkrycia, potwierdziła organizacja Electronic Frontier Foundation, która wykazała, że oprócz modelu przez niego zakupionego, zainfekowane są również inne urządzenia - zestaw T95Max firmy AllWinner, a także produkowane przez RockChip zestawy X12 Plus i X88 Pro 10.
Obecnie nie wiadomo, jak duży jest botnet, z którym łączył się zestaw telewizyjny mężczyzny - jak pisze Tech Crunch, złośliwe oprogramowanie preinstalowane na urządzeniu nie jest łatwe do usunięcia z perspektywy użytkownika. Jedynym sposobem na ochronę przed takimi sytuacjami jest pociągnięcie za nie do odpowiedzialności dostawców sprzętu - jednak w przypadku chińskich firm jest to praktycznie niemożliwe.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].