Menu

V téměř 30 zařízeních s Androidem je malware nainstalovaný výrobcem

mqalware_ico
V téměř 30 zařízeních s Androidem je malware nainstalovaný výrobcem
Ohodnoťte článek

Bezpečnostní experti ze společnosti Doctor Web našli ve firmwaru téměř tří desítek zařízení malware nainstalovaný výrobcem. Konkrétně se jedná o škodlivé aplikace typu “trojský kůň”, které mohou bez vědomí uživatele stahovat a instalovat další programy.

Jeden z těchto trojanů, označovaný jako Android.DownLoader.473.origin, byl nalezen ve firmwarech většího počtu populárních zařízení postavených na platformě MediaTek. Na začátku minulého týdne byla tato škodlivá aplikace zjištěna v následujících 26 modelech chytrých telefonů a tabletů:

  • 7 MID
  • Bravis NB105
  • Bravis NB85
  • Digma Plane 9.7 3G
  • Explay Imperium 8
  • General Satellite GS700
  • Irbis TX97
  • Irbis TZ43
  • Irbis tz56
  • Irbis tz70
  • Irbis TZ85
  • Itell K3300
  • Jeka JK103
  • Marshal ME-711
  • MegaFon Login 4 LTE
  • Nomi C07000
  • Optima 10.1 3G TT1040MG
  • Oysters T72HM 3G
  • Perfeo 9032_3G
  • Pixus Touch 7.85 3G
  • Prestigio MultiPad PMT5001 3G
  • Prestigio MultiPad Wize 3021 3G
  • Ritmix RMD-1121
  • SUPRA M729G
  • SUPRA M72KG
  • SUPRA V2N10

Počet infikovaných zařízení může být dle odborníků ve skutečnosti ještě větší.

Malware nainstalovaný výrobcem může být nepříjemný

Android.DownLoader.473.origin je trojský kůň, který se aktivuje při každém spuštění zařízení. Aplikace sleduje připojení přes bezdrátovou síť a v případě dostupného internetového připojení se spojí s řídícím serverem. Z něj následně získá konfigurační soubor s dalšími instrukcemi. V tomto souboru jsou informace o dalších aplikacích, které by trojan měl stáhnout. Po úspěšném stažení jsou následně programy bez vědomí uživatele nainstalovány.

Stahovány jsou aplikace mnoha “žánrů” – například reklamní systém H5GameCenter detekovaný jako Adware.AdBox.1.origin. Po instalaci se zobrazí malé okno, běžící nad spuštěnými aplikacemi. Toto okno nelze z obrazovky odstranit. Jedná se o zástupce, odkazujícího na katalog integrovaný do Adware.AdBox.1.origin. Kromě H5GameCenter zobrazuje obtěžující reklamy. Uživatelé, kteří tento reklamní systém odinstalovali, často hlásí, že jim byl opětovně nainstalován. Důvod je v tomto případě prostý: Android.DownLoader.473.origin ho jednoduše stáhne a znovu nainstaluje.

Malware nainstalovaný výrobcem zobrazuje malé okno

Malware nainstalovaný výrobcem zobrazuje malé okno

Další trojan Android.Sprovider.7 byl nalezen v telefonech Lenovo A319 a Lenovo A6000, přičemž druhý jmenovaný lze sehnat i na našem trhu. Součástí této aplikace je také Android.Sprovider.12.origin, který je v zašifrované podobě uložen v kódu mateřské aplikace. Aplikace kontroluje svou aktivitu při každém odemknutí obrazovky. Pokud zjistí, že neběží, postará se o své automatické spuštění.

Aplikace instaluje další programy

Aplikace instaluje další programy

Android.Sprovider.12.origin může provádět následující akce:

  • Stáhnout soubor APK a pokusit se ho nainstalovat bez vědomí uživatele.
  • Spouštět nainstalované aplikace.
  • Otevřít zadaný odkaz v prohlížeči.
  • Uskutečnit telefonní hovor na určité číslo pomocí standardní systémové aplikace.
  • Zobrazit reklamy nade všemi aplikacemi.
  • Zobrazovat reklamy ve stavovém řádku.
  • Vytvořit zástupce na domovské obrazovce.
  • Aktualizovat hlavní škodlivý modul.

Autoři prý vydělávají peníze na zvyšování statistik aplikace a distribucí reklamního software. Doctor Web již informoval výrobce chytrých telefonů o svých zjištěních. Uživatelům infikovaných přístrojů je doporučeno kontaktovat technickou podporu a nainstalovat aktualizovaný systémový software.

Zdroj: news.drweb.com.

Komentáře

lukodlak

lukodlak

z aplikace
19.12.2016 14:38

Tak to je teda pěkné. Jak je to možné?

Martin P.

Martin P.

19.12.2016 14:48

To lukodlak z aplikace 19.12.2016 14:38: A proč by to možné nebylo ? Neexistuje přeci žádná bezpečnostní centrální autorita, která by kontrolovala mobily nebo počítače.
Není problém udělat nějakou custom ROM s back-doorem a uploadnout jí nějakam na Web. No a firma? Ta má mnohem větší možnosti.

unions8

unions8

19.12.2016 14:51

Lenovo A6000 mám. S originálním firmwarem je to beztak jen nepoužitelný kus šrotu. A ano, plný nesmyslného bloat/malwaru. S custom ROM je to naštěstí alespoň špatně použitelný kus šrotu. Navíc komunita je dosti agilní, takže na něm aktuálně běží Android 7.1.1. :-D

Opicak

Opicak

z aplikace
19.12.2016 16:03

Spis tak v 90% zarizeni…bohuzel…

kulichoid

kulichoid

z aplikace
19.12.2016 16:05

Až na to Lenovo mi ostatní značky nic neříkají. Další důvod, proč nekupovat levné neznámé značky.

Mirrec

Mirrec

z aplikace
19.12.2016 17:02

Lidi kolem mně kupojou levné sračky Zopo, Cubot, Dogee atd. úplně všetci to mají za.ebany reklamama, telefony si sami stahujou a instalujou aplikace a nedá se to ani jeden dát do továrního nastavení.Tři mají Zopo, jeden Dogee nebo tak nějak.A známá má Cubot Oné.Jediné ten Cubot se dal opravit bez zásahu servisu.Stačilo projít několika antiviry a telefon se spamatoval. Moje rada:Nekupujte sračky do 3500kč

Fuzo

Fuzo

19.12.2016 18:05

Lenovo Vibe P1M to mělo už před rokem :-( Bohuželnikde se o tom nepsalo. Lenovo mám rád, ale v originálně zabaleném mobilu takový malware je věc nepříjemná.

ty4r5an

ty4r5an

z aplikace
19.12.2016 22:06

lenovo a6000 ? platí to i pro a6020a40 ?

uni

uni

20.12.2016 7:38

kulichoid: Tak Prestigio má zde normálně distributorské zastoupení, tablety i s Win, telefony,… A pokud se nepletu, není to ani Čína, ale brand Evropského výrobce.

MarQus

MarQus

20.12.2016 8:24

Znáte nějakou appku, klidně aby vyžadovala root, která by je vyhledala a uměla smazat, aniž by narušila systém? pár jsem jich zkoušel a buď nefungují (avasty, avg a podobný zbytečnosi) nebo se dostanu do bootloopu :/

RSS (komentáře k článku)