Скрытое вредоносное ПО атакует миллионы Android-смартфонов из коробки

Исследователи кибербезопасности Trend Micro обнаружили тревожный инцидент с атакой на цепочку поставок, нацеленной на устройства Android. Они обнаружили, что миллионы Android-устройств, в том числе бюджетные смартфоны, смарт-часы, смарт-телевизоры и другие смарт-устройства, заражаются вредоносным ПО еще до выхода с завода.

Во время конференции в Сингапуре исследователи Trend Micro Федор Ярочкин и Чжэнью Донг пролили свет на основную причину этой проблемы, объяснив ее жесткой конкуренцией среди производителей оригинального оборудования (OEM). В то время как производители смартфонов отдают определенные компоненты, такие как прошивки, сторонним поставщикам, снижение цен на прошивки для мобильных телефонов привело к тому, что эти поставщики испытывают трудности с монетизацией своей продукции.

Следовательно, Ярочкин объяснил, что эти продукты начали поставляться с предустановленными «бесшумными плагинами», которые были нежелательными дополнениями. Расследование Trend Micro выявило многочисленные сканирования образов микропрограмм на наличие вредоносного программного обеспечения и выявило около 80 различных подключаемых модулей. Некоторые из этих плагинов были частью более широкой «бизнес-модели» и продавались на подпольных форумах, а также рекламировались в основных социальных сетях и блогах.

Эти плагины обладают различными возможностями, включая кражу конфиденциальной информации, SMS-сообщений, захват учетных записей социальных сетей, мошенничество с рекламой и кликами, злоупотребление трафиком и многое другое. Реестр выявил одну особенно серьезную проблему, заключающуюся в том, что плагин позволяет покупателю получить полный контроль над устройством на период до пяти минут и использовать его в качестве «узла выхода».

По данным Trend Micro, данные показывают, что почти девять миллионов устройств по всему миру стали жертвами этой атаки на цепочку поставок, причем большинство из них находится в Юго-Восточной Азии и Восточной Европе. Хотя исследователи прямо не назвали виновных, они несколько раз упоминали Китай в своем обсуждении.

Что такое атака на цепочку поставок?

Атака на цепочку поставок — это злонамеренная тактика, используемая киберпреступниками для выявления и использования уязвимостей во взаимосвязанной сети поставщиков, продавцов и поставщиков услуг, которые способствуют производству и распространению товаров или услуг. Вместо того, чтобы атаковать конкретную цель напрямую, злоумышленники проникают и компрометируют доверенный объект в цепочке поставок, чтобы получить несанкционированный доступ или внедрить вредоносные элементы в конечный продукт или услугу.

Целью атаки на цепочку поставок является использование доверия к скомпрометированному объекту и использование его в качестве трамплина для достижения конечной цели. Компрометируя доверенное звено в цепочке поставок, злоумышленники могут получить доступ к конфиденциальной информации, внедрить вредоносное ПО, подделать продукты или манипулировать процессами, что приводит к различным пагубным последствиям.

Существуют различные методы, используемые для атак на цепочки поставок, в том числе:

Манипуляции с программным обеспечением или прошивкой: Злоумышленники нацелены на программное обеспечение или прошивку продуктов, вставляя вредоносный код или уязвимости в процессе разработки или производства.

Компрометация поставщика: Киберпреступники компрометируют инфраструктуру поставщика или поставщика, чтобы получить несанкционированный доступ к конфиденциальным данным или системам и использовать их в качестве стартовой площадки для дальнейших атак.

Эксплуатация сторонних компонентов: Злоумышленники используют уязвимости в сторонних компонентах, интегрированных в продукты или услуги, используя эти уязвимости для компрометации всей системы.

Поддельные компоненты. Злоумышленники внедряют в цепочку поставок поддельные или скомпрометированные компоненты, что может привести к нарушениям безопасности или проблемам с производительностью конечного продукта.