Xakep #242. Фаззинг

• Содержание выпуска


• Подписка на «Хакер»

Специалисты Федерального управления по информационной безопасности (Bundesamt fur Sicherheit in der Informationstechnik) предупредили об опасном бэкдоре, встроенном в прошивку некоторых Android-устройств, продающихся в Германии.

Малварь была обнаружена в прошивках Doogee BL7000, M-Horse Pure 1, Keecoo P11, а также VKworld Mix Plus (вредонос обнаружен, но неактивен). Все четыре устройства – бюджетные смартфоны, работающие под управлением Android.

Найденный экспертами вредонос, это троян Andr/Xgen2-CY. Впервые он был замечен специалистами Sophos Labs в октябре 2018 года, — тогда исследователи обнаружили, что малварь скрывалась в приложении SoundRecorder, которое было предустановленно на смартфонах uleFone S8 Pro.

Аналитики Sophos Labs писали, что Andr/Xgen2-CY создавался специально как неудаляемый бэкдор. Изначальной задачей вредоноса была слежка за пользователем: после включения устройства Andr/Xgen2-CY активируется, собирает детали об устройстве и передает их на удаленный сервер, ожидая дальнейших инструкций. Малварь собирала следующие данные:

• номер телефона;


• информация о местоположении, включая долготу, широту и адрес;


• идентификатор IMEI и Android ID;


• разрешение экрана;


• производитель, модель, марка, версия ОС;


• информация о процессоре;


• тип сети;


• MAC-адрес;


• размер ROM и RAM;


• размер SD-карты;


• язык и страна;


• оператор мобильной связи.

После того как информация об устройстве была передана операторам малвари, те могли приказать вредоносу следующее:

• скачать и установить приложение;


• удалить приложение;


• выполнять shell-команду;


• открыть URL в браузере.

Кроме того, разработчики Andr/Xgen2-CY позаботились о скрытности: малварь маскировалась под Android-библиотеку. А теперь эксперты Федерального управления по информационной безопасности пишут, что малварь надежно закреплена в прошивке устройств, таким образом, что удаление бэкдора практически невозможно.

Исправления для своих гаджетов пока выпустил только один производитель: патч доступен лишь для смартфонов Keecoo P11.

Эксперты определили, что ежедневно к управляющим серверам Andr/Xgen2-CY обращаются как минимум 20 000 немецких IP-адресов, что позволяет составить представление о количестве зараженных устройств и людей, которые регулярно используют опасные гаджеты. При этом подчеркивается, что проблема может затрагивать и пользователей из других стран мира.

Пользователей предупредили о том, что их устройства опасны, а операторы малвари могут в любой момент использовать вредоноса для распространения банковских троянов, вымогательского или рекламного ПО, а также других угроз.