Nowe ustalenia badaczy bezpieczeństwa podważają zaufanie do tanich urządzeń z Androidem. Okazuje się, iż niektóre tablety mogły być zainfekowane jeszcze przed wyjęciem z pudełka – bez wiedzy użytkownika i bez instalowania podejrzanych aplikacji.
Problem dotyczy złośliwego systemu ukrytego w firmware, czyli najniższej warstwie systemu. Taki atak jest szczególnie niebezpieczny, bo działa głębiej niż zwykłe wirusy i może przejąć kontrolę nad całym urządzeniem.
Fabryczna furtka w systemie
Badacze z firmy Kaspersky odkryli backdoor o nazwie Keenadu, który był wbudowany w oprogramowanie niektórych tabletów już na etapie produkcji. Oznacza to, iż urządzenia trafiały do sprzedaży z gotowym mechanizmem umożliwiającym zdalny dostęp.
Po uruchomieniu malware wstrzykuje się do procesu systemowego Zygote, odpowiedzialnego za start wszystkich aplikacji w Androidzie. Dzięki temu atakujący mogą monitorować działania użytkownika, manipulować aplikacjami i pobierać dodatkowe moduły szpiegujące.
Według danych Kaspersky problem dotknął ponad 13 tysięcy użytkowników na świecie. Najwięcej przypadków wykryto w Rosji, Japonii, Niemczech, Brazylii i Holandii. Zdjęcie: Instalki.plZłośliwe oprogramowanie potrafi między innymi przekierowywać wyniki wyszukiwania, śledzić instalacje aplikacji oraz wykorzystywać reklamy do generowania zysków. Działając na poziomie systemowym, ma znacznie większe możliwości niż zwykłe wirusy.
Zaskakujące stanowisko Google
Google odniosło się do sprawy, przesyłając redakcji Android Authority (która jako pierwsza o tym poinformowała) komentarz, który zupełnie nie jest uspokajający – w uproszczeniu jeżeli urządzenie ma zainstalowany Play Protect, to znane wersje fabrycznego backdoora zostaną zablokowane.
Użytkownicy Androida są automatycznie chronieni przed znanymi wersjami tego złośliwego systemu przez Google Play Protect, który jest domyślnie włączony na urządzeniach z Androidem wyposażonych w Usługi Google Play. Google Play Protect może ostrzegać użytkowników i wyłączać aplikacje wykazujące zachowania powiązane z Keenadu, choćby jeżeli pochodzą spoza Google Play. Jako dobrą praktykę bezpieczeństwa zalecamy upewnienie się, iż urządzenie ma certyfikat Play Protect.
Firma zapewnia także, iż wskazane w raporcie złośliwe aplikacje zostały usunięte ze sklepu Play.
Kto powinien uważać
Problem ma dotyczyć głównie tańszych urządzeń od mniej znanych producentów. Eksperci uspokajają, iż największe marki raczej nie są objęte problemem. Największe ryzyko dotyczy budżetowych tabletów kupowanych z niepewnych źródeł lub od anonimowych producentów. jeżeli korzystasz z takiego sprzętu, warto regularnie sprawdzać aktualizacje systemu i instalować je natychmiast po pojawieniu się. W tym przypadku aktualizacja firmware’u może być jedynym sposobem usunięcia zagrożenia.
Odkrycie pokazuje, iż bezpieczeństwo urządzeń mobilnych zaczyna się już na etapie produkcji. choćby ostrożny użytkownik może paść ofiarą ataku, jeżeli złośliwy kod zostanie ukryty głęboko w systemie jeszcze przed sprzedażą.
Źródło: Android Authority
