Поделиться
Российские магазины завалены дешевыми кнопочными телефонами с вредоносным ПО
Исследованию недокументированных функций в недорогих кнопочных телефонах стоимостью 600-1499 руб., купленных в российской рознице, позволило обнаружить огромное количество вредоносного софта, с помощью которого злоумышленники получают доступ к персональным данным владельцев и управлению устройством.«Звонилки» тоже взламывают
Недорогие кнопочные телефоны с минимальной функциональностью могут быть весьма опасны для владельцев из-да широкого набора скрытых вредоносных функций. К такому выводу пришел автор портала «Хабр» с ником ValdikSS, который детально изучил особенности работы пяти кнопочных мобильных телефонов ценой 600-1499 руб.
В своей публикации ValdikSS рассказал о вредоносных функциях кнопочных телефонов, которые могут автоматически отправлять сообщения SMS – в том, числе, платные на короткие номера, передавать на секретный сервер в интернете сведения о покупке и использовании устройства (включая IMSI SIM-карты и IMEI телефона), а также перехватывающие входящие SMS с последующей пересылкой на сервер злоумышленников.
Из пяти кнопочных телефонов, купленных в обычных розничных магазинах – Inoi 101 за 600 руб., DEXP SD2810 за 699 руб., Irbis SF63 за 750 руб., Itel it2160 за 799 руб. и F+ Flip 3 за 1499 руб., только в модели компании Inoi – самой дешевой в списке, не оказалось вредоносного кода и функции скрытой отправки платных сообщений. Во всех остальных телефонах была обнаружена подозрительная активность, а некоторых – сразу несколько скрытых вредоносных функций.
Казалось бы, чего там взламывать
Изначально несколько недорогих кнопочных телефонов были приобретены для работы с SMS на компьютере, поскольку цена таких моделей значительно ниже, чем у отдельных USB-модемов GSM, сообщил ValdikSS в своей публикации.
По словам автора, сегодня на рынке поставщиков интегрированных чипов для кнопочных телефонов присутствуют три основных производителя – RDA Microelectronics, Spreadtrum и Mediatek, поэтому для изучения всего разнообразия предложений необязательно покупать десятки-сотни моделей, достаточно ознакомиться с несколькими телефонами с разными чипами и операционными системами.
В процессе изучения работы телефонов автор обнаружил подозрительную активность, а знакомство с детализацией сообщений в личном кабинете абонента помогло выяснить, что телефоны занимаются тайной рассылкой SMS, хотя устройства при этом никак не отображали этот факт.
Вредоносную активность телефонов автор разделил на три категории. Наиболее «безобидной» он считает отправку SMS и выход в интернет для «отслеживания продаж», поскольку таким образом устройство не наносит ощутимый материальный урон счету абонента. При этом телефон отправляет SMS на обычный российский номер или выходит в интернет, передавая IMEI-номер телефона и IMSI SIM-карты неустановленной организации или частному лицу без ведома пользователя. Данные передаются единожды или до сброса гаджета в заводское состояние, или после каждого извлечения аккумулятора.
Второй тип активности подразумевает наличие в прошивке телефона трояна, который отправляет SMS на платные (короткие) номера, с предварительной загрузкой текста и номера со стороннего сервера в интернете. Таким образом происходит систематическое списывание средств со счета.
Третий тип активности подразумевает заражение телефона бэкдором, который перехватывает входящие SMS и отправляет их на удаленный сервер. Таким образом злоумышленники могут использовать номер телефона для регистраций на сервисах с подтверждением через SMS, пишет автор.
Среди способов обнаружения и анализа активности вредоносного софта ValdikSS указал проверку детализации мобильного оператора и анализ прошивки телефона, а также запуск собственной базовой станции 2G, которая обеспечивает доступ ко всему сетевому трафику GSM/GPRS с возможностью его просмотра и модификации.
Итоги анализа вредоносной активности
Самым «чистым» из пятерки исследованных устройств оказался самый недорого кнопочный телефон Inoi 101, который вовсе не содержит вредоносных функций. Автор отмечает наличие нежелательных функций – вроде SMS-подписок и платных игр, однако устройство не пытается совершать что-либо самовольно или скрытно.
Телефон Itel it2160 производства китайской компании Itel (входит в холдинг Transsion с брендами Tecno, Infinix, и Spice) сразу же после установки SIM-карты и без предупреждения «стучит» о продаже телефона через интернет на сайт asv.transsion.com, сообщая IMEI, страну, модель, версию прошивки, язык, время активации и идентификатор базовой станции.
Телефон Flip 3 российского OEM-поставщика F+ рапортует факт продажи посредством SMS после установки российской SIM-карты, отсылая IMEI, IMSI, модель телефона, номер партии и дату производства, при этом сообщение не сохраняется в памяти телефона.
Модель DEXP SD2810 российского бренда сети магазинов DNS автор назвал «опасным телефоном, расходующим деньги мобильного счета». Эта модель также сообщает о продаже через интернет без предупреждения, передавая IMEI и IMSI.
Вдобавок DEXP SD2810 периодически отправляет POST-запросы по незашифрованному HTTP-соединению на зарегистрированный в Китае домен www.mgs123.com, выполняя ответы сервера на отправку SMS. Сервер сообщает телефону номер для отправки SMS, содержание или префикс сообщения, а также ожидаемый ответный текст и текст ответной SMS.
Кнопочный телефон SF63 российского OEM-поставщика Irbis также назван автором опасным, поскольку аппарат – помимо сообщения о продаже, из-за предустановленного бэкдора использует номер телефона в коммерческих целях для регистрации сторонних лиц в интернет-сервисах посредством рассылки зашифрованных данных на сторонний сервер и выполнения ответных команд.
Телефон, как и в случае с DEXP, отправляет POST-запросы по HTTP на удаленный сервер на домен hwwap.well2266.com, но при этом с шифрованием передаваемых данных собственным алгоритмом. Домен зарегистрирован и хостится в Китае, в облаке Alibaba.
Кто виноват и что делать?
По словам автора материала, в итоге в четырех из пяти купленных кнопочных телефонов нашлись незадекларированные функции, при этом две модели бесконтрольно тратят деньги со счета абонента, отправляя данные после покупки через SMS/интернет); одна модель отправляет платные SMS на короткие номера, и еще одна модель ворует частную переписку, пересылая входящие через интернет.
Как отмечает ValdikSS, в первую очередь виноваты бренды, которые заказывают разработку устройства и прошивки у OEM-производителя без тщательной проверки результата на наличие незадекларированных возможностей. Кроме того, некоторые бренды не выкладывают прошивку на своих сайтах, и вместо этого отправляют пользователей обновлять устройство в сервисный центр. Вдобавок, бренды F+ и BQ и вовсе отрицают наличие проблем или умалчивают о них.
Другой проблемой автор считает отсутствие в России ведомства, которое занималось бы такими вопросами. Так, сегодня Минцифры занимается только проверкой сертификации на соответствие стандартам связи. При этом ведомство рекомендует обращаться в Роспотребнадзор, «перенеся проблему в плоскость продавец-покупатель», пишет ValdikSS.
Для того, чтобы не оказаться жертвой зловредных скрытых функций, автор советует покупать только проверенные бренды с мировым именем – такие как Nokia, даже несмотря на цену в два-четыре раза выше российских и китайских брендов. Помимо этого, ValdikSS рекомендует перед покупкой ознакомиться с отзывами, которые помогут выбрать проверенную модель с безупречной репутацией.
Наконец, не лишним будет отслеживать поведение телефона после покупки по детализации оператора, и в случае обнаружения непонятной активности обращаться в Роспотребнадзор, ФСБ или к производителю.
Поделиться
Короткая ссылка
