Как и почему в китайских телефонах для рынка РФ появляются вирусы

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.881
Репутация
62.390
Реакции
277.076
RUB
0
Сегодня поделюсь известной мне информацией по поводу вирусов и троянов в телефонах и смартфонах китайского производства, которые можно купить в наших магазинах.



Я думал, что после обязательной сертификации Гугл это исчезло, но, судя по сообщениям пикабушников, вполне себе процветает.








Этот пост является своеобразным ответом на статьи пикабушника , , но поскольку информации значительно больше, под буквальный формат «ответа» это не подходит.



Коротко по сути: в кнопочные телефоны и смартфоны для рынка России (возможно и других стран) могут подсаживать вирусы и трояны, которые сложно обнаружить. Обычно эти программы воруют данные, транслируют рекламу или оформляют ненужные подписки.



Вот что обнаружил на своём устройстве








Когда я первый раз столкнулся с китайскими троянами в мобильных



Первый раз я столкнулся с китайскими мобильными вирусами, когда занимался мобильным направлением мобильных и смартфонов в локальной торговой марке, которая начинается и заканчивается на букву t.



За время работы от перепродажи готовых телефонов с переводом мы пришли к полностью авторским разработкам, сделали свой уникальный и понятный интерфейс для разных моделей, подняли качество, попутно сделав несколько моделей, которые стали одними из самых продаваемых в мире (китайцы тиражировали их и на другие страны).



Кнопки мы заказывали контейнерами, тираж был от 10000 до 1000000 штук на одну модель в течение года. Объемы были известны и конкурентам, и другим поставщикам. Как выяснилось, и аферистам.



В один момент мы столкнулись с массовыми жалобами от пользователей, телефоны которых подписываются на платные сервисы. Пользователи возмущались и угрожали судами.



Что происходит, мы сами не понимали. Как примитивный аппарат, многократно протестированный инженерами, может сам на что-то подписываться?! Меню телефона мы знали от и до, аппараты тестировались на симках всех операторов.








Прошивка для мобильного телефона – закрытая система. Её нельзя разобрать и скомпоновать снова как прошивку для Android смартфона.



Так что мы грешили на происки операторов связи (думаю, многие сталкивались с подключением не нужных сервисов как без согласования, так и «паровозом» с другими услугами). А до проблемы докопались, когда инженер лично прошёл весь процесс с настойчивым пользователем.



Оказалось, что вредоносные программы зашиты в примитивные мобильные игры! В те самые «змейки», «тетрисы» и прочие пиксельные творения, которые можно найти в аппаратах с разрешением экрана 128*128 пикселей и чуть больше.








Работало это так: после окончания игры выскакивало сообщение «поделиться результатом», а после согласования пользователя, отправлялось сообщение на короткий номер. Или же пользователю предлагалось «загрузить другую игру». Это всегда было дополнительным предложением.



Немногие пользователи играли в игры, немногие делились результатом. Но, повторюсь, кнопки продавались огромными тиражами. Поэтому каждый месяц несколько тысяч человек подписывались на ненужные платные сервисы!



Естественно, мы сделали обновление прошивок даже для кнопок. Игры с «особенностями» были выпилены или заменены на аналоги.



Первоначально мы списали ситуацию на глупость китайских разработчиков. Но всё оказалось сложнее. А коллеги их этой же компании и ряда других обнаружили подобные сюрпризы у себя.








Смартфоны и новое вредоносное ПО



Далее «китайские вирусы» (производства Санкт-Петербурга, как потом выяснилось) были обнаружены в смартфонах. Смартфоны мы так же продавали хорошими тиражами.



На смартфонах вредоносное ПО, в основном, транслировало рекламу. Думаю, многие сталкивались с рекламой в устройствах Xiaomi, где для нормального использования нужно отключить эту опцию во многих приложениях разработчика.



В наших смартфонах реклама не отключалсь и регулярно демонстрировалась пользователям, некоторые из которых обрывали телефонную линию в офисе. Часть уведомлений предлагала подписку на платные сервисы и часть пользователей подписывалась, вновь предъявляя претензии нам.



От коллег я слышал информацию, что некоторое ПО просто ворует пользовательские данные и перепродаёт статистику на сторону без согласия.



Мы выпускали обновление ПО, тестировали прошивки антивирусами и угрожали китайским фабрикам, которые сами не имели понятия, что происходит. К слову, с похожей проблемой сталкивались и коллеги их бренда DEXP, которым пришлось во Владивостоке вручную перепрошивать несколько партий смартфонов. Виновных мы не нашли, но хотя бы добрались до сути, как вирусы появляются в устройствах.








Как вирусы попадают в мобильные устройства



Здесь нужно рассказать о производстве мобильных в Китае. Сами фабрики платы для мобильных и смартфонов не делают. Не делают они и прошивки устройств. Фабрики разрабатывают дизайны и закупают компоненты. А платы и прошивки делают дизайн-хаусы, которые поставляют их фабрикам.



Дизайн-хаусы запрещают фабрикам и заказчикам изменять прошивку и сразу снимают гарантию на платы после любых вмешательствах. Они заинтересованы замкнуть процесс на себя. Поэтому подсаживать вирусы и трояны могут только в дизайн-хаусах.



После нашего расследования и общения с коллегами мы выделили три пути, по которым вирусы подсаживаются:



  • это сознательно делают поставщики плат, получив за это деньги от заинтересованных лиц, которые зарабатывают на подписках и трансляции и рекламе;
  • это может делать отдельно взятый инженер, которого подкупили. Но случай кажется редким, так как он должен работать над прошивкой конкретного устройства для конкретного рынка;
  • загрузка вредоносного ПО происходит с негласного согласия локальной торговой марки или её представителей, которые находятся в доле;
  • вредители делают собственную прошивку и перепрошивают устройства в стране продажи. Процесс трудоёмкий и вряд ли возможная выгода стоит трудозатрат.








Почему вирусы не могут быть случайностью



Вначале, не имея опыта, мы предполагали, что платная подписка ошибочно досталась нам от игр, которые делались для китайского рынка. Но случайностью это не было.



Судите сами: вирус должен оформлять подписку на сервисы, доступные в регионе продажи устройства. Возможность подписки должна быть реализована на всех операторах связи. Реклама должна транслироваться на понятном языке и в так же в регионе, который выбрал рекламодатель.



Если бы пользователь пробовал подписаться на китайские сервисы, ничего бы не происходило или выскакивала бы ошибка. Реклама, которую видели пострадавшие, была на русском языке.



Таким образом расследование привело нас из Санкт-Петербурга в Санкт-Петербург. Более того, в прекрасно знакомую мне компанию. Короткие номера, на которые шла подписка контента, принадлежали ей. Правда, выяснилось, что сама компания пересдаёт эти номера другим юридическим лицам, которые пересдают их дальше. И просьба отключить эти номера для минимизации ущерба лишь единожды закончилась успешно.



Основную информацию я получил в кулуарах. Именно там мне объяснили, как китайский представитель российской компании работает с производителями плат. После этого было даже предложение официально оформить отношение с фирмой «за доход от мобильного контента в устройствах» и не играть в кошки-мышки.



Мы отказались от всего, выпили все игры, переработали меню, а смартфоны стали проверять ещё более тщательно. Плюс запретили поставщикам работать с производителями плат, которые поставили набольшее количество плат с сюрпризами.








Вирусы в 2024 году



Мне казалось, что после введения обязательной сертификации Google проблема «жучков» и вредоносного ПО в смартфонах решилась сама собой. Сейчас все смартфоны с сервисами Google проходят обязательное тестирование с сотнями тысяч тестов, а после прохождения тестов получают уникальную подпись (fingerprint), которая не действует, если была изменена конфигурация или прошивка.



Для изменения прошивки сертификацию нужно проходить заново.



Да, были умельцы, которые манипулировали с fingerprint, но Google с такими манипуляциями боролся. Тем не менее, в РФ есть хорошие программисты, которые вполне могли хакнуть гугловкие ограничения даже во вред пользователю.








Случай Tecno



Если после сертификации Google в смартфоне всё равно были обнаружено стороннее вредоносное ПО, то подсаживали его уже после модификации прошивки.



Предположу, что вредоносное ПО отправляет на сторону данные пользователя или показывает ему рекламу. Возможно, умельцы дошли до воровства денег из банковских приложений, не знаю, не сталкивался.



Смартфоны представлены в федеральных сетях. Компания слишком крупная для того, чтобы подобные манипуляции проходили без её ведома. Для того чтобы понять, был ли это частный случай, нужно проверять антивирусом большую партию и в принципе разобраться, как вредоносное ПО работает.





Всем прочим пользователям могу посоветовать покупать телефоны и смартфоны торговых марок с репутацией, которые не допустят закупки плат с вредоносным ПО и сами проведут предпродажное тестирование.







 
  • Теги
    вирусы
  • Сверху Снизу