Malware preinstalat în aproape 5 milioane telefoane Android
Cercetătorii din domeniul securității au descoperit o campanie masivă de malware care continuă să crească, și care a infectat deja aproape 5 milioane de dispozitive mobile din întreaga lume.
Denumit RottenSys, malware-ul care a fost deghizat ca aplicație de tip „System Wi-Fi”, a fost preinstalat pe milioane de smartphone-uri noi fabricate de Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung și GIONEE, fiind adăugat la un moment dat în lanțul de aprovizionare. Toate aceste dispozitive afectate au fost expediate prin Tian Pai, un distribuitor de telefonie mobilă din Hangzhou, dar cercetătorii nu sunt siguri dacă firma are o implicare directă în această campanie.
Potrivit echipei Check Point Mobile Security, care a descoperit această campanie, RottenSys este o piesă avansată de malware care nu oferă niciun serviciu securizat Wi-Fi, dar are aproape toate permisiunile critice ale unui sistem Android pentru a permite activitățile sale rău intenționate.
Conform descoperirilor noastre, malware-ul RottenSys a început să fie propagat din data de septembrie 2016. Până la data de 12 martie 2018, au fost infectate 4.964.460 de dispozitive de către RottenSys.
Pentru a evita detectarea, aplicația falsă a serviciului de sistem Wi-Fi vine inițial fără componente periculoase și nu declanșează imediat nicio activitate rău intenționată. În schimb, RottenSys a fost conceput pentru a comunica cu serverele sale de comandă și control pentru a obține lista componentelor necesare, care conțin codul rău intenționat. Ulterior, RottenSys le descarcă și le instalează în mod corespunzător, utilizând permisiunea „DOWNLOAD_WITHOUT_NOTIFICATION” care nu necesită interacțiuni cu utilizatorul.
În acest moment, campania masivă de programe malware forțează rularea unei componente adware pe toate dispozitivele infectate care afișează agresiv anunțuri pe ecranul de pornire al dispozitivului, sub forma de ferestre pop-up sau anunțuri pe întreg ecranul pentru a genera venituri obținute în mod fraudulos.
Cercetătorii au declarat:
RottenSys este o rețea de anunțuri extrem de agresivă. Numai în ultimele 10 zile a generat 13.250.756 de anunțuri agresive (numite impresii în industria de anunțuri), iar 548.822 s-au concretizat în clicuri pe anunțuri.
Potrivit cercetătorilor de la CheckPoint, malware-ul și-a făcut autorii mai bogați cu peste 115.000 de dolari numai în ultimele 10 zile, dar atacatorii plănuiesc „ceva mult mai dăunător decât afișarea pur și simplu a anunțurilor nedorite„.
Din moment ce RottenSys a fost conceput pentru a descărca și instala orice componente noi de pe serverul său, atacatorii pot cu ușurință să obțină controlul deplin asupra a milioane de dispozitive infectate. Ancheta a dezvăluit, de asemenea, unele dovezi că atacatorii de la RottenSys au început deja să transforme milioane de dispozitive infectate într-o rețea masivă de tip botnet.
Unele dispozitive infectate au fost găsite instalând o nouă componentă RottenSys care oferă atacatorilor abilități mai extinse, inclusiv instalarea silențioasă a aplicațiilor suplimentare și a automatizării interfeței.
Cercetătorii au observat:
Interesant este că o parte din mecanismul de control al botnet-ului este implementat în scripturi Lua. Fără intervenție, atacatorii ar putea reutiliza canalul de distribuție malware existent și, în curând, vor dobândi controlul asupra a milioane de dispozitive.
Aceasta nu este prima dată când cercetătorii de la CheckPoint au găsit mărci de vârf afectate de atacul lanțului de aprovizionare. Anul trecut, compania a găsit telefoane aparținând producătorilor Samsung, LG, Xiaomi, Asus, Nexus, Oppo și Lenovo, infectate cu două tipuri de malware preinstalate (Loki Trojan și ransomware-ul mobil SLocker), concepute pentru a spiona utilizatorii.
Pentru a verifica dacă dispozitivul vostru este infectat cu acest program malware, accesați setările sistemului Android → Managerul de aplicații și apoi căutați următoarele nume de pachete de programe periculoase:
com.android.yellowcalendarz
com.changmi.launcher
com.android.services.securewifi
com.system.service.zdsgt
Dacă oricare componentă dintre cele aflate în lista de mai sus se regăsește printre aplicațiile instalate, pur și simplu dezinstalați-o.