Hlavní navigace

Levné Androidy s malware: v Rusku takových našli desítky

Roman Bořánek

Kupujete levný telefon či tablet s Androidem od málo známého výrobce? Tak to si dejte pozor, aby v systému nebyl i nechtěný přídavek v podobě malware. Ruský trh je jím zaplavený.

Bezpečnost operačního systému Android je dlouhodobě problematická, hlavně proto, že výrobci pomalu záplatují svoje verze operačního systému. Zde se alespoň situace pomalu vyvíjí k lepšímu. Koupí zařízení s Androidem se však můžete setkat i s mnohem horšími bezpečnostními problémy. Výzkumníci z antivirové společnosti Dr.Web odhalili, že řada chytrých telefonů a tabletů rovnou z výroby obsahuje trojského koně.

Než se začnete děsit, je třeba dodat, že jde převážně o zařízení určená pro ruský trh. Zároveň jde o značky pomyslné třetí kategorie, o kterých jste možná ani neslyšeli. Jmenovitě např. Irbis, Bravis, Supra, Nomi, Ritmix nebo Marshal. Trojský kůň byl nalezen v celkem 26 modelech. Trochu známější už je značka Prestigio, jejíž tablet MultiPad Wize 3021 se prodával i v České republice. Obraz systému však velmi pravděpodobně mohl být jiný.

Seznam kompromitovaných zařízení na ruském trhu: MegaFon Login 4 LTE, Irbis TZ85, Irbis TX97, Irbis TZ43, Bravis NB85, Bravis NB105, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Pixus Touch 7.85 3G, Itell K3300, General Satellite GS700, Digma Plane 9.7 3G, Nomi C07000, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Optima 10.1 3G TT1040MG, Marshal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Ritmix RMD-1121, Oysters T72HM 3G, Irbis tz70, Irbis tz56, Jeka JK103.

Trojan se živí hlavně z reklam

Android.DownLoader.473.origin je stahovač, který se spustí vždy se zapnutím zařízení. Malware monitoruje Wi-Fi adaptér a poté se připojí ke command and control serveru, aby získal konfigurační soubor s instrukcemi. Soubor obsahuje informace o dalších aplikacích, které má trojan stáhnout. Po stažení je potají nainstaluje, popisují výzkumníci počáteční aktivitu malwaru. Takto může instalovat jak další škodlivé programy, tak prosté otravné aplikace nebo třeba vkládat reklamu na různá místa v systému. Odinstalace nechtěných programů obvykle nepomůže, protože je základní trojan nainstaluje znovu.

Payload od Android.Sprovider.7 je umístěn v samostatném modulu, který je detekován jako Android.Sprovider.12.origin. Je zašifrován a uložen ve zdrojích hlavního malwaru. Když uživatel odemkne domovskou obrazovku, trojan zkontroluje, zda je modul stále aktivní. Pokud ne, Android.Sprovider.7 znovu získá komponentu ze svého těla a spustí ji, píše se na stránkách Dr.Web. Poté už může dělat mnoho různých věcí. Z toho nejhoršího zmiňme možnost volat na libovolné číslo, zobrazovat reklamy ve stavovém řádku nebo ve všech aplikacích, otevírat odkazy v prohlížeči nebo instalovat balíčky (k tomu však musí dát uživatel svolení).

Malware zobrazuje např. takové reklamy

Malware zobrazuje např. takové reklamy

Původcem je zřejmě dodavatel systému

Ptáte se, jak se trojan vůbec do systému mohl dostat a kdo ho tam dal? Přesnou odpověď neznáme, nicméně výroba noname zařízení je celkem přímočará. Firma objedná hardware, obvykle v Číně, a mnohdy od někoho objedná i hotový obraz systému. Na starost už má potom jen prodej a distribuci. Vzhledem k tomu, že se problém týká širokého spektra značek, je dost možné, že samotní výrobci-značky o malwaru ani neví a nic z něj nemají. Systém o malware zřejmě „obohatil“ dodavatel obrazu systému.

Malou útěchou může být, že malware zřejmě nekrade data nebo se nepokouší uživatele nějak víc špehovat. Jde mu zkrátka o to vydělat svému tvůrci co nejvíc peněz, hlavně z všudypřítomných reklam apod. Jeho funkcionalita se však může rozšiřovat a není vyloučeno, že časem zdivočí. Zatím není znám způsob, jak systém očistit. Dr.Web informoval výrobce a teď je na nich, jak se k situaci postaví a zda vydají čistou aktualizaci systému. Dost možná nikoliv. Jediným řešením tak zůstává zařízení rootnout a o očištění se pokusit svépomocí, případně nahrát důvěryhodnou ROM. Komunitní podpora noname zařízení však často bývá slabá.

Jaké z toho plyne ponaučení? Asi nevěřit velmi levným zařízením od neznámých firem. Modely oficiálně distribuované v ČR sice pravděpodobně budou čisté, ale pokud objednáváte z Číny nebo jiných dalekých končin, už to může být horší a nebudete vědět, co je pro vás v zařízení přichystáno. Zřejmě nejlepším řešením, pokud už chcete koupit levný noname smartphone či tablet, je vybrat rozšířený model s dobrou komunitní podporou a nahrát do něj slušnou ROM.

Našli jste v článku chybu?