Wirus wprost z fabryki. 13 tysięcy telefonów z zainstalowanym malware

Eksperci z Kaspersky Lab wykryli kampanię, w ramach której do sprzedaży trafiło 13 tysięcy nowych smartfonów z preinstalowanym złośliwym oprogramowaniem Keenadu. Urządzenia były fabrycznie nowe, a infekcja nastąpiła jeszcze przed ich zakupem przez użytkowników.

Według ustaleń opisanych przez Wiedomosti ponad połowa zainfekowanych telefonów została wysłana do Rosji. Około 9 tysięcy sztuk trafiło do sprzedaży w tym kraju. Pozostałe urządzenia wykryto między innymi w Brazylia, Niemcy, Holandia oraz Japonia. Kaspersky nie podał marki urządzeń, ale ponieważ najwięcej egzemplarzy rozprowadzono na rynku rosyjskim, można podejrzewać, że chodzi o jednego z chińskich producentów.

Zainfekowane jeszcze przed pierwszym uruchomieniem

Keenadu znajdował się w oprogramowaniu już w momencie opuszczania fabryki. Oznacza to, że użytkownicy nie mieli wpływu na obecność wirusa w systemie. Według specjalistów źródłem problemu mógł być naruszony łańcuch dostaw oprogramowania.

Przedstawiciele Kaspersky wskazują, że producenci smartfonów mogli nie mieć świadomości infekcji. Złośliwy kod podszywał się pod legalne komponenty systemowe i funkcjonował jako element firmware’u. Tego typu ataki są trudne do wykrycia bez zaawansowanej kontroli na każdym etapie produkcji.

„Podejrzewamy, że producenci nie byli świadomi naruszenia łańcucha dostaw , które umożliwiło Keenadu przeniknięcie do urządzeń, ponieważ złośliwe oprogramowanie podszywało się pod legalne komponenty systemu” – powiedział Dmitrij Kalinin, starszy ekspert ds. cyberbezpieczeństwa w Kaspersky Lab.

Smartfon jako narzędzie do zarabiania

Keenadu został zaprojektowany przede wszystkim do generowania przychodów z reklam. Zainfekowane urządzenia działają jak boty, automatycznie klikając w linki sponsorowane i zwiększając liczbę wyświetleń. Każdy aktywny telefon pracuje na rzecz przestępców przez całą dobę. Eksperci podkreślają, że przy dużej skali kampanii zyski mogą sięgać milionów dolarów. Koszty organizacji takiego procederu są relatywnie niewielkie w porównaniu z potencjalnymi wpływami.

Kradzież danych i pełna kontrola nad systemem

Funkcjonalność Keenadu nie ogranicza się do farmy kliknięć. Złośliwe oprogramowanie potrafi instalować dodatkowe aplikacje, nadawać sobie rozszerzone uprawnienia oraz przechwytywać dane użytkownika. Zagrożone są zdjęcia, wiadomości, dane bankowe i informacje o lokalizacji.

Według komunikatu Kaspersky malware monitoruje także aktywność w przeglądarce Google Chrome, w tym sesje w trybie incognito. Otwiera to drogę do profilowania użytkowników i przechwytywania poufnych informacji.

Android atakowany, Apple poza zasięgiem

Problem dotyczy wyłącznie urządzeń z systemem Android. Nowe smartfony Apple nie są objęte tą kampanią. Według ekspertów bezpieczniejsi mogą być także użytkownicy urządzeń Huawei, w których od 2019 roku nie instaluje się domyślnie usług Google.

Brak dostępu do Google Play może utrudniać aktywację niektórych komponentów Keenadu. Jednocześnie specjaliści ostrzegają, że zainfekowane aplikacje pojawiały się również w oficjalnym sklepie, w tym programy do obsługi inteligentnych kamer. Część z nich pobrano setki tysięcy razy.

Rynek wtórny również zagrożony

Eksperci zwracają uwagę, że problem preinstalowanego malware nie jest nowy. W ostatnich latach wykrywano podobne przypadki w dekoderach telewizyjnych oraz urządzeniach sprzedawanych na rynku wtórnym. W takich sytuacjach użytkownik często nie ma świadomości, że sprzęt działa pod kontrolą obcego kodu.