Исследователи кибербезопасности из Trend Micro обнаружили атаку на цепочку поставок. Эта атака позволила злоумышленникам заразить миллионы устройств Android еще до того, как они вышли из завода. Пораженные устройства являются преимущественно бюджетными смартфонами, но атака распространилась на смарт-часы, смарт-телевизоры и другие смарт-устройства.
Старший исследователь Trend Micro Федор Ярочкин и его коллега Чжэн Донг сообщили, что корень проблемы заключается в жестокой конкуренции между производителями.
Как оказалось, изготовители смартфонов производят не все компоненты. Прошивка, например, создается сторонним поставщиком. Однако поскольку цена на готовую прошивку мобильного телефона постоянно снижалась, поставщики не смогли зарабатывать достаточные деньги на своих продуктах.
Поэтому прошивки начали поступать с нежелательными приложениями в виде «тихих плагинов». В Trend Micro проанализировали десятки прошивок и нашли в некоторых из них 80 разных плагинов. По словам исследователей, некоторые плагины были частью более широкой бизнес-модели: их продавали на темных форумах и даже рекламировали на основных платформах социальных сетей и блогах.
Эти плагины способны похищать конфиденциальную информацию с устройства, похищать SMS-сообщения, контролировать учетные записи социальных сетей, использовать мошенничества с рекламой и кликами, злоупотреблять трафиком.
Один тип плагинов – прокси-плагины – позволяет преступникам сдавать устройства в аренду примерно на пять минут за раз.Например, те, кто арендует контроль над устройством, могут получить данные о нажатии клавиш, географическом расположении, IP-адресе и т.д.
В Trend Micro подсчитали, что зараженные прошивки нашли в телефонах 10 вендоров, но предполагают, что такие зараженные прошивки могут быть в телефонах 40 производителей. В общей сложности около девяти миллионов устройств во всем мире пострадали от этой атаки на цепь поставок, большинство из которых расположены в Юго-Восточной Азии и Восточной Европе.