Дослідники кібербезпеки з Trend Micro виявили атаку на ланцюжок поставок. Ця атака дозволила зловмисникам заразити мільйони пристроїв Android ще до того, як вони вийшли із заводу. Уражені пристрої є переважно бюджетними смартфонами, але атака також поширилася на смарт-годинники, смарт-телевізори та інші смарт-пристрої.
Старший дослідник Trend Micro Федір Ярочкін і його колега Чженю Донг повідомили, що корінь проблеми полягає в жорстокій конкуренції між виробниками.
Як виявилося, виробники смартфонів виробляють не всі компоненти. Прошивка, наприклад, створюється стороннім постачальником. Однак, оскільки ціна на готову прошивку мобільного телефону постійно знижувалася, постачальники не змогли заробляти достатні гроші на своїх продуктах.
Тому прошивки почали надходити з небажаними додатками у вигляді «тихих плагінів». У Trend Micro проаналізували десятки прошивок і знайшли в деяких з них 80 різних плагінів. За словами дослідників, деякі плагіни були частиною ширшої «бізнес-моделі»: їх продавали на темних форумах і навіть рекламували на основних платформах соціальних мереж і блогах.
Ці плагіни здатні викрадати конфіденційну інформацію з пристрою, викрадати SMS-повідомлення, контролювати облікові записи соціальних мереж, використовувати пристрої для шахрайства з рекламою та кліками, зловживати трафіком.
Один тип плагінів – проксі-плагіни – дозволяє злочинцям здавати пристрої в оренду приблизно на п’ять хвилин за раз. Наприклад, ті, хто орендує контроль над пристроєм, можуть отримати дані про натискання клавіш, географічне розташування, IP-адресу тощо.
У Trend Micro підрахували, що заражені прошивки знайшли в телефонах 10 вендорів, але припускають, що такі заражені прошивки можуть бути в телефонах 40 виробників. Загалом близько дев’яти мільйонів пристроїв у всьому світі постраждали від цієї атаки на ланцюг поставок, більшість з яких розташовані в Південно-Східній Азії та Східній Європі.