Як стверджують автори обох звітів, вони виявили кілька лінійок пристроїв Android із попередньо встановленим шкідливим програмним забезпеченням, яке неможливо видалити без дуже складних дій з боку користувачів.

Цікаво Вчені тренують новий штучний інтелект на даних з даркнету

Звіт перший

Перше повідомлення надійшло від компанії Trend Micro, що займається питаннями безпеки. Її дослідники заявили, що шкідливим програмним забезпеченням заражено 8,9 мільйона телефонів 50 різних брендів. Цей софт назвали Guerrilla і вперше його описали в компанії Sophos, яка знайшла його в 15 шкідливих додатках, які Google дозволив для свого магазину Play Маркет.

Guerrilla відкриває бекдор, який змушує заражені пристрої регулярно зв'язуватися з віддаленим сервером команд і управління, щоб перевірити, чи немає нових шкідливих оновлень для встановлення. Ці шкідливі оновлення збирають дані про користувачів, які зловмисник, якого Trend Micro називає Lemon Group, може продавати рекламодавцям. Потім Guerrilla таємно встановлює агресивні рекламні платформи, які можуть виснажувати заряд акумулятора і погіршувати користувацький досвід.

Guerrilla – це масштабна платформа з майже десятком плагінів, які можуть перехоплювати сесії користувачів WhatsApp для надсилання небажаних повідомлень, встановлювати зворотний проксі з інфікованого телефону і використовувати мережеві ресурси ураженого мобільного пристрою, та навіть впроваджувати рекламу в сторонні легітимні додатки.

Країною з найбільшою концентрацією заражених телефонів були США. За ними йдуть Мексика, Індонезія, Таїланд і Росія.

Звіт другий

Другий звіт опублікувало видання TechCrunch. У ньому детально описано кілька лінійок телевізійних приставок на базі Android, що продаються через Amazon, які були "пронизані" шкідливим програмним забезпеченням. Телевізійні приставки, як повідомляється, моделі T95 з індексом h616, підпорядковуються командно-контрольному серверу, який, як і сервери Guerrilla, може встановити будь-яку програму, яку забажають творці шкідливого програмного забезпечення. Шкідливе ПЗ за замовчуванням, попередньо встановлене на приставках, відоме як "клікбот". Воно генерує дохід від реклами, приховано натискаючи на рекламні оголошення у фоновому режимі.

Видання розповідає історію Даніеля Мілісіча, дослідника, який випадково купив одну з заражених приставок. Його висновки були незалежно підтверджені Біллом Бадінгтоном, дослідником з Electronic Frontier Foundation.

Які висновки можна зробити

Пристрої Android, які поставляються зі зловмисним програмним забезпеченням прямо з заводської коробки, на жаль, не є чимось новим. Таких випадків можна назвати дуже багато. Але найцікавіше те, що в усіх випадках фігурують дешеві моделі маловідомих брендів. Тому дослідники рекомендують орієнтуватися на відносно відомі бренди, які мають репутацію – Samsung, Asus, OnePlus та інші. На сьогодні не було жодного повідомлення про пристрої Android вищого класу з попередньо встановленим шкідливим програмним забезпеченням. Для iPhone таких звітів також немає. Звісно, це означає більші витрати, однак у результаті користувач отримає стабільну роботу й упевненість у тому, що його смартфон не зливає дані прямо в руки розробників програм на кшталт Guerrilla.