Ukryte złośliwe oprogramowanie żerujące na milionach telefonów z Androidem po wyjęciu z pudełka
Analitycy cyberbezpieczeństwa z firmy Trend Micro wykryli niepokojący przypadek ataku na łańcuch dostaw wymierzony w urządzenia z systemem Android. Odkryli, że miliony urządzeń z Androidem, w tym budżetowe smartfony, smartwatche, smart TV i inne inteligentne urządzenia, są infekowane złośliwym oprogramowaniem typu infostealer jeszcze przed opuszczeniem fabryki.
Podczas konferencji w Singapurze badacze firmy Trend Micro, Fyodor Yarochkin i Zhengyu Dong, rzucili światło na pierwotną przyczynę tego problemu, przypisując go ostrej konkurencji między producentami oryginalnego sprzętu (OEM). Podczas gdy producenci smartfonów zlecają zewnętrznym dostawcom niektóre komponenty, takie jak oprogramowanie układowe, spadające ceny oprogramowania sprzętowego do telefonów komórkowych doprowadziły tych dostawców do trudności w zarabianiu na swoich produktach.
W związku z tym Yarochkin wyjaśnił, że te produkty zaczęły być dostarczane z preinstalowanymi „cichymi wtyczkami”, które były niechcianymi dodatkami. Dochodzenie firmy Trend Micro ujawniło liczne obrazy oprogramowania sprzętowego skanujące złośliwe oprogramowanie i zidentyfikowało około 80 różnych wtyczek. Niektóre z tych wtyczek były częścią szerszego „modelu biznesowego” i były sprzedawane na podziemnych forach, a także reklamowane na głównych platformach mediów społecznościowych i blogach.
Wtyczki te mają różne możliwości, w tym kradzież poufnych informacji, wiadomości SMS, przejmowanie kont w mediach społecznościowych, oszustwa związane z reklamami i kliknięciami, nadużywanie ruchu i nie tylko. Rejestr zwrócił uwagę na jeden szczególnie poważny problem polegający na tym, że wtyczka pozwala kupującemu uzyskać pełną kontrolę nad urządzeniem na okres do pięciu minut i używać go jako „węzła wyjściowego”.
Według firmy Trend Micro dane wskazują, że prawie dziewięć milionów urządzeń na całym świecie padło ofiarą tego ataku na łańcuch dostaw, z czego większość znajduje się w Azji Południowo-Wschodniej i Europie Wschodniej. Chociaż naukowcy nie wskazali wyraźnie winowajców, wielokrotnie wspominali o Chinach w swojej dyskusji.
Co to jest atak na łańcuch dostaw?
Atak na łańcuch dostaw to złośliwa taktyka stosowana przez cyberprzestępców w celu namierzenia i wykorzystania luk w połączonej sieci dostawców, sprzedawców i usługodawców, którzy uczestniczą w produkcji i dystrybucji towarów lub usług. Zamiast atakować bezpośrednio konkretny cel, napastnicy infiltrują i narażają na szwank zaufany podmiot w łańcuchu dostaw, aby uzyskać nieautoryzowany dostęp lub wprowadzić złośliwe elementy do końcowego produktu lub usługi.
Celem ataku na łańcuch dostaw jest wykorzystanie zaufania pokładanego w zagrożonym podmiocie i wykorzystanie go jako odskoczni do osiągnięcia ostatecznego celu. Narażając zaufane ogniwo w łańcuchu dostaw, osoby atakujące mogą uzyskać dostęp do poufnych informacji, wprowadzić złośliwe oprogramowanie, manipulować produktami lub manipulować procesami, co prowadzi do różnych szkodliwych skutków.
Istnieją różne metody stosowane w atakach na łańcuch dostaw, w tym:
Manipulowanie oprogramowaniem lub oprogramowaniem sprzętowym: osoby atakujące atakują oprogramowanie lub oprogramowanie sprzętowe produktów, wprowadzając złośliwy kod lub luki w zabezpieczeniach podczas procesu opracowywania lub produkcji.
Kompromis ze sprzedawcą: Cyberprzestępcy narażają na szwank infrastrukturę sprzedawcy lub dostawcy, aby uzyskać nieautoryzowany dostęp do poufnych danych lub systemów i wykorzystać je jako platformę startową do dalszych ataków.
Wykorzystanie komponentów innych firm: osoby atakujące wykorzystują luki w komponentach innych firm zintegrowanych z produktami lub usługami, wykorzystując te słabości do naruszenia bezpieczeństwa całego systemu.
Podrobione komponenty: złośliwi aktorzy wprowadzają do łańcucha dostaw podrobione lub naruszone komponenty, co może prowadzić do naruszenia bezpieczeństwa lub problemów z wydajnością produktu końcowego.
