Εκατομμύρια κινητά τηλέφωνα είναι μολυσμένα με κακόβουλο λογισμικό από κατασκευής τους, λένε οι ερευνητές

Σύμφωνα με ερευνητές της Trend Micro στο Black Hat Asia, κακόβουλοι παράγοντες έχουν μολύνει εκατομμύρια Androids παγκοσμίως με κακόβουλο firmware πριν καν αποσταλούν οι συσκευές από τα εργοστάσιά τους. Αυτό το υλικό είναι κυρίως φτηνές κινητές συσκευές Android, αν και smartwatches, τηλεοράσεις και άλλα πράγματα έχουν παγιδευτεί σε αυτό.

Η κατασκευή των gadgets έχει ανατεθεί σε έναν κατασκευαστή αρχικού εξοπλισμού (OEM). Αυτή η εξωτερική ανάθεση καθιστά δυνατό για κάποιον στον κατασκευαστική αλυσίδα -όπως έναν προμηθευτή firmware- να μολύνει τα προϊόντα με κακόβουλο κώδικα καθώς αυτά αποστέλλονται, δήλωσαν οι ερευνητές. Αυτό συμβαίνει εδώ και καιρό, με αναφορές να καταγράφονται από το 2017. Πηγές από την Trend Micro, χαρακτήρισαν την απειλή σήμερα ως "ένα αυξανόμενο πρόβλημα για τους απλούς χρήστες και τις επιχειρήσεις". 

Ποιος είναι ο ευκολότερος τρόπος για να μολυνθούν εκατομμύρια συσκευές;

διερωτήθηκε ο ανώτερος ερευνητής της Trend Micro Fyodor Yarochkin, μιλώντας μαζί με τον συνάδελφο Zhengyu Dong στο συνέδριο στη Σιγκαπούρη. Ο Yarochkin παρομοίασε τη διείσδυση σε συσκευές σε ένα τόσο πρώιμο στάδιο του κύκλου ζωής τους με ένα δέντρο που απορροφά υγρό: εισάγετε τη μόλυνση στη ρίζα και αυτή διανέμεται παντού, σε κάθε κλαδί και φύλλο. Αυτή η εισαγωγή κακόβουλου λογισμικού ξεκίνησε καθώς έπεσε η τιμή του firmware των κινητών τηλεφώνων, όπως μας είπαν. Ο ανταγωνισμός μεταξύ των διανομέων firmware έγινε τόσο λυσσαλέος που τελικά οι πάροχοι δεν μπορούσαν να χρεώσουν χρήματα που αξίζει το προϊόν τους.

Αλλά φυσικά δεν υπάρχουν δωρεάν πράγματα

, δήλωσε ο Yarochkin, ο οποίος εξήγησε ότι, ως αποτέλεσμα αυτής της κατάστασης εκβιασμού, το firmware άρχισε να διατίθεται με ένα ανεπιθύμητο χαρακτηριστικό - τα σιωπηλά plugins. Η ομάδα ανέλυσε δεκάδες εικόνες firmware αναζητώντας κακόβουλο λογισμικό. Βρήκαν πάνω από 80 διαφορετικά plugins, αν και πολλά από αυτά δεν ήταν ευρέως διαδεδομένα. Τα plugins που είχαν τον μεγαλύτερο αντίκτυπο ήταν εκείνα που είχαν ένα επιχειρηματικό μοντέλο χτισμένο γύρω από αυτά, πωλούνταν κρυφά και διακινούνταν ανοιχτά σε μέρη όπως το Facebook, τα blogs και το YouTube. Ο στόχος του κακόβουλου λογισμικού είναι να κλέψει πληροφορίες ή να βγάλει χρήματα από τις πληροφορίες που συλλέγονται ή παραδίδονται. Το κακόβουλο λογισμικό μετατρέπει τις συσκευές σε proxies τα οποία χρησιμοποιούνται για την κλοπή και την πώληση μηνυμάτων SMS, την κατάληψη λογαριασμών κοινωνικής δικτύωσης και διαδικτυακών μηνυμάτων και χρησιμοποιούνται ως ευκαιρίες κερδοφορίας μέσω διαφημίσεων και απάτης με κλικ.

Ένας τύπος πρόσθετου, τα proxy plugins, επιτρέπουν στον εγκληματία να νοικιάζει συσκευές για έως και περίπου πέντε λεπτά κάθε φορά. Για παράδειγμα, όσοι νοικιάζουν τον έλεγχο της συσκευής θα μπορούσαν να αποκτήσουν δεδομένα σχετικά με τις πληκτρολογήσεις, τη γεωγραφική θέση, τη διεύθυνση IP και πολλά άλλα. "Ο χρήστης του proxy θα μπορεί να χρησιμοποιήσει το τηλέφωνο κάποιου άλλου για μια περίοδο 1200 δευτερολέπτων ως κόμβο εξόδου", δήλωσε ο Yarochkin. Είπε επίσης ότι η ομάδα βρήκε ένα πρόσθετο cookie του Facebook που χρησιμοποιήθηκε για τη συλλογή δραστηριότητας από την εφαρμογή του Facebook.

Μέσω των δεδομένων τηλεμετρίας, οι ερευνητές εκτίμησαν ότι υπάρχουν τουλάχιστον εκατομμύρια μολυσμένες συσκευές σε παγκόσμιο επίπεδο, αλλά έχουν συγκεντρωθεί στη Νοτιοανατολική Ασία και την Ανατολική Ευρώπη. Μια στατιστική που αυτοαναφέρθηκε από τους ίδιους τους εγκληματίες, δήλωσαν οι ερευνητές, ήταν περίπου 8,9 εκατομμύρια. Όσον αφορά το από πού προέρχονται οι απειλές, το δίδυμο δεν θα έλεγε συγκεκριμένα, αν και η λέξη "Κίνα" εμφανίστηκε πολλές φορές στην παρουσίαση, συμπεριλαμβανομένης μιας ιστορίας που σχετίζεται με την ανάπτυξη του ύποπτου firmware. Ο Yarochkin δήλωσε ότι το ακροατήριο θα πρέπει να αναλογιστεί πού βρίσκονται οι περισσότεροι κατασκευαστές ΟΕΜ στον κόσμο και να βγάλει τα δικά του συμπεράσματα.

Ακόμα κι αν πιθανόν να γνωρίζουμε τους ανθρώπους που δημιουργούν την υποδομή για αυτή την επιχείρηση, είναι δύσκολο να εντοπίσουμε πώς ακριβώς η μόλυνση αυτή τοποθετείται σε αυτό το κινητό τηλέφωνο, επειδή δεν γνωρίζουμε με βεβαιότητα ποια στιγμή μπήκε στην αλυσίδα εφοδιασμού

Η ομάδα επιβεβαίωσε ότι το κακόβουλο λογισμικό εντοπίστηκε στα τηλέφωνα τουλάχιστον 10 προμηθευτών, αλλά ότι πιθανόν να έχουν επηρεαστεί περίπου 40 ακόμη. Για όσους επιδιώκουν να αποφύγουν τα μολυσμένα κινητά τηλέφωνα, θα μπορούσαν να προστατευτούν κάπως με την αγορά υψηλών προδιαγραφών. Δηλαδή, θα βρείτε αυτού του είδους το κακό firmware στο φθηνότερο άκρο του οικοσυστήματος Android, και το να επιμείνετε σε μεγαλύτερες μάρκες είναι μια καλή ιδέα, αν και δεν αποτελεί απαραίτητα εγγύηση ασφάλειας. "Οι μεγάλες μάρκες όπως η Samsung, όπως η Google φρόντισαν σχετικά καλά για την ασφάλεια της εφοδιαστικής τους αλυσίδας, αλλά για τους φορείς απειλών, αυτή εξακολουθεί να είναι μια πολύ προσοδοφόρα αγορά", δήλωσε ο Yarochkin.