Hlavní navigace

Ve firmware 141 levných telefonů s Androidem byl nalezen malware

Petr Krčmář

V levných telefonech s Androidem byl v 90 zemích nalezen malware. Celkem bylo objeveno 141 napadených telefonů, které už od výroby přicházejí k uživateli napadené. Zdroj nákazy je přitom stále neznámý.

Doba čtení: 4 minuty

O napadeném firmware levných telefonů s Androidem se mluvilo už před dvěma lety, když výzkumníci z antivirové společnosti Dr. Web odhalili 26 modelů s předinstalovaným malware Android.DownLoader.473.origin. Nyní se ukazuje, že se podvodná operace nejen že nezastavila, ale naopak se podařilo rozšířit její působnost.

141 telefonů v 90 zemích

Společnost Avast nyní zveřejnila další informace, podle kterých se neznámé skupině útočníků daří infikovat stále další a další zařízení a celá operace během dvou let narostla několikanásobně na objemu. Avast zveřejnil seznam telefonů a tabletů, u kterých byla nákaza objevena.

Jsou mezi nimi přístroje u nás velmi málo známých značek, ale i taková jména jako Archos, Prestigio nebo ZTE. Telefony těchto značek jsou u nás vidět poměrně často, obvykle jde o modely z nejlevnější cenové kategorie, které nejsou certifikovány Googlem. Infikovaná zařízení byla nalezena v 90 zemích a mají společného především to, že všechna používají čipset společnosti Mediatek.

Malware nazvaný Cosiloon se v přístrojích nachází v adresáři /system a má plná rootovská práva. Jeho hlavním úkolem je stahovat moduly s dalším kódem, který je pak na přístrojích spuštěn. Porovnáním současného stavu a toho před dvěma lety došli lidé z Avastu k tomu, že malware pracuje stále stejně. Průběžně se aktualizují jen moduly, které si malware stahuje z řídicích serverů. Jen za poslední měsíc jej Avast nalezl na 18 000 zařízení.

Protože je malware součástí firmware a má nejvyšší práva, může instalovat libovolný kód či falešnou aplikaci, aniž k tomu potřebuje uživatelovo svolení. Dokáže tak například nahradit běžnou aplikaci svou vlastní verzí, která může mít přibalené nepříjemné překvapení.

Hlavně zobrazování reklam

Zdá se, že hlavním účelem celé operace je zobrazování reklam. Malware vkládá do aplikaci i do systému vlastní reklamní plochy a provozovatelé pak vydělávají peníze právě na reklamách. Zřejmě je to jediný byznys, ve kterém se tvůrci malware angažují, jiné zneužití moci nad zařízením nebylo pozorováno.

O napadení zařízení se zmiňují různá fóra, hovoří se o něm i v českém e-shopu CZC.cz, kde uživatelé hlásí problémy s různými zařízeními. Dával jsem tablet 3× do továrního nastavení, ale pokaždé se tam ten SmartService objevil znovu. Vyzkoušel jsem několik antivirů, které ten malware označí, ale žádný ho nedokáže odstranit. Odinstalovat sice lze, ale po restartu se znovu objeví. Holt občas z Číny některá zařízení toto obsahují. Prý některé mobily od DOOGEE taky. Jediné řešení (nouzové), když se ta aplikace odinstaluje, tak se reklama v prohlížeči neobjevuje a zřejmě není aktivní. Tablet pak není zpomalený. Funguje to ovšem jen dokud se nevypne, píše uživatel Petisan.

Příklady reklam zobrazovaných malware Cosiloon

Zajímavé je, že v určité situaci malware reklamy nezobrazuje: pokud je jazyk nastaven na čínštinu, IP adresa pochází z čínského rozsahu a kdy je počet nainstalovaných aplikací menší než tři. Avast tedy předpokládá, že útočníci operují z Číny a nechtějí budit pozornost místních úřadů. Přímé důkazy k této hypotéze ovšem chybí.

Zdroj infekce je stále neznámý

Ani po dvou letech se nepodařilo zjistit, odkud infekce pochází a jak se do telefonů dostala. Výrobců a operátorů je takové množství, že není možné jednoznačně na některého ukázat. Přístroje mnoha značek jsou rozšířené po celém světě, což komplikuje stopování konkrétního zdroje.

Není prý možné obvinit ani přímo Mediatek, jako autora čipsetu. Platí sice, že všechny napadené telefony jmenovaný čipset používají, ale už neplatí, že všechny telefony s tímto čipsetem jsou napadené. Pokud by se podařilo malware propašovat přímo do jedné ze softwarových komponent v továrně Mediateku, pak by byla napadena všechna vyrobená zařízení, což pozorováno není.

Vypadá to spíše, že skupina napadá zařízení náhodně, pokud se jí podaří vstoupit do některého bodu výrobního řetězce a otrávit firmware. Avastu se podařilo dosáhnout odstavení serverů s řídicím softwarem. Protože ale registrátor domény nereagoval na výzvy, útočníci se brzy přesunuli k jinému poskytovateli a svou výnosnou činnost obnovili.

Odinstalace je nemožná

Antiviry jsou schopné odhalit a odinstalovat dodatečně stažený kód, samotný malware (dropper) se ale nachází v systémové oblasti, kam není možné zapisovat. Časem se znovu aktivuje a stáhne reklamní modul znovu. Malware je tedy v telefonu uložen napevno a bude v něm pravděpodobně navždy.

Uživatelé mohou dropper vidět v nastavení telefonu mezi aplikacemi. Má výchozí ikonku Androidu a jmenuje se „CrashService“, „ImeMess“ nebo „Terminal“. Pokud to přístroj dovoluje, je možné aplikaci deaktivovat. Pokud je pak odstraněna i část stažená v zapisovatelné části, malware už svou činnost nedokáže obnovit.

Našli jste v článku chybu?