Вирус с завода: хакеры атаковали колыбель Android

На Android-смартфонах нашли предустановленный вирус

Depositphotos
Хакеры научились предустанавливать вирусы на Android-смартфоны на этапе их сборки на заводах, сообщает The Verge со ссылкой на заявление компании Google. Сообщается, что вектор атаки злоумышленников включает в себя компрометирование сторонних поставщиков ПО, с которыми сотрудничает производитель гаджетов.

Компания Google опубликовала исследование, в котором рассказала о семействе приложений-вирусов Triada. Главной задачей этого семейства была установка на устройство пользователя программ, которые показывали большое количество рекламных объявлений. Создатели Triada получали деньги за показы этой рекламы. Google отмечает, что методы, которые использовала Triada, были очень продвинутыми и нетипичными для подобного вида приложений.

Несмотря на то, что Google активно блокировала деятельность Triada, злоумышленники, стоящие за вирусами, не оставляли попыток заразить гаджеты на базе операционной системы Android. Как сообщает The Verge, хакерам в конце концов удалось разработать метод, согласно которому зловредное ПО проникает на смартфоны еще на заводе во время сборки и задолго до того, как пользователь распаковывает коробку с телефоном или устанавливает свое первое приложение.

Этот способ задействует сторонних разработчиков программного обеспечения — дело в том, что зачастую у производителей мобильных гаджетов нет ПО, которое обеспечило бы все задуманные функции на смартфоне, поэтому они обращаются к третьим лицам для его создания.

Таким образом, заражение вирусом происходит в обход системы безопасности производителя — он отдает ОС стороннему разработчику, злоумышленники атакуют разработчика и заражают устройство, разработчик возвращает ОС производителю с уже предустановленным вирусом.

Google не стала раскрывать детали заражения, но подчеркнула, что случай с Triada наглядно демонстрирует, как хакеры становятся все более изощренными в своих атаках. Компания также не сообщила, какие именно смартфоны были заражены этим вирусом, но портал Ars Technica указывает на то, что в 2017 году случаи контаминации Triada встречались на гаджетах Leagoo и Nomu.

Также Google отметила важность установки Google Play Services на все телефоны с ОС Android, чтобы своевременно сканировать устройство на вирусы и предотвращать глобальные атаки.

Впрочем, учитывая количество антимонопольных дел, заведенных в отношении Google за последние пару лет, у Европейского союза наверняка появятся вопросы относительно этой инициативы.

В январе 2019 года стало известно о новом вирусе-вымогателе на базе Windows. Зловред попадал в систему жертвы при скачивании определенных файлов, а после шифровал практически все документы пользователя. Этот вирус получил название Djvu.

Метод распространения этого вируса достаточно прост, так как он скачивается вместе с «кряками» — так называют специальные программы, позволяющие обойти защиту легального ПО, чтобы, например, пользоваться им бесплатно. Кроме того, некоторые жертвы Djvu также скачивали утилиты для блокировки рекламы на интернет-сайтах.

После запуска зловреда на экране появлялось фейковое сообщение, в котором говорилось об установке обновления для Windows. На самом деле в этот момент происходит шифрование практически всех файлов пользователя на компьютере. В каждой папке, содержащей зашифрованные документы, появлялся текстовый файл, в котором злоумышленники объясняли работу вируса. Они предлагали заплатить им денежный выкуп за дешифровку, призывая не пользоваться сторонними программами, так как это может привести к удалению всех документов.

В сообщении были указаны два адреса электронной почты, по которым можно связаться с хакерами. Кроме того, ниже говорилось о «щедром» предложении — 50%-й скидке, если жертва пришлет выкуп в течение трех ближайших суток.

В октябре 2018 года эксперты Cisco обнаружили другой опасный вирус на Android.

Этот троян под названием GPlayed маскировался под магазин приложений и имел большое количество встроенных возможностей — от отправки SMS-сообщений и смены пароля пользователя до вымогательства денег за разблокировку и полной чистки памяти смартфона.

Сообщается, что главная опасность этого вируса заключалась в том, что он умеет адаптироваться после того, как попадает в систему смартфона на базе Android. Хакер, осуществивший атаку на устройство с помощью GPlayed, получает возможность удаленно загружать плагины и внедрить собственный код.

«Наш анализ показал, что этот троян пока находится в стадии тестирования, но учитывая его потенциал, каждый владелец смартфона должен знать о GPlayed», — заявили специалисты Cisco Talos.