Preinstaliran malver pronađen u klasičnim telefonima
Istraživač bezbednosti otkrio je zlonamerni kod u firmveru četiri niskobudžetna mobilna telefona sa dugmićima koji se prodaju preko ruskih onlne prodavnica.
Takvi incidenti više nisu tako retki
U izveštaju koji je ove nedelje objavio ruski istraživač bezbednosti ValdikSS, telefoni sa tasterima, poput DEXP SD2810, Itel it2160, Irbis SF63 i F+ Flip 3 , uhvaćeni su kako se pretplaćuju na premijum SMS usluge i presreću dolazne SMS poruke kako bi se sprečilo otkrivanje. ValdikSS, koji je postavio lokalnu 2G baznu stanicu kako bi presreo komunikaciju telefona, rekao je da su uređaji takođe tajno obavestili udaljeni internet server kada su prvi put aktivirani, čak i ako telefoni nemaju internet browser. ValdikSS je testirao pet staromodnih telefona koje je kupio onlajn. Testiran je i peti telefon, Inoi 101, ali uređaji nisu pokazali nikakvo zlonamerno ponašanje.
| Model telefona | Maliciozno ponašanje |
| DEXP SD2810 | – Nema internet browser ali se konektuje prego GPRS-a bez znanja korisnika i šalje podatke do udaljenog servera, uključujući IMEI i IMSI kodove. – Šalje SMS poruke na premijum brojeve i presreće SMS poruke umesto korisnika. |
| Itel it2160 | “Prodajna” funkcija obaveštava udaljeni server (http://asv.transsion[.]com:8080/openinfo/open/index) kada se telefon aktivira i šalje IMEI code, državu, model, firmware verziju, jezik, vreme aktivacije i ID mobilne bazne stanice. |
| Irbis SF63 | – Nema internet browser ali se konektuje prego GPRS-a da obavesti udaljeni server o prodaji/aktivaciji telefona. – Preko broja telefona, registruje naloge onlajn (npr. Telegram). – Dobija i izvršava komande udaljenog servera. |
| F+ Flip 3 | – Telefon šalje SMS sa IMEI i IMSI kodovina na brojeve telefona kodirane u firmware-u. |
Svi udaljeni serveri koji su primili ovu aktivnost nalazili su se u Kini, gde su svi uređaji i proizvedeni pre nego što su ponovo prodati u ruskim internet prodavnicama kao niskobudžetna alternativa popularnijim ponudama telefona sa tasterima, poput onih iz Nokia-e. Iako je zlonamerno ponašanje pronađeno u firmveru telefona, istraživač nije mogao reći da li je kod dodao dobavljač ili treća strana koja je isporučila firmver ili rukovala telefonima tokom isporuke. Takvi incidenti, iako prilično drski, više nisu tako retki, a slični slučajevi otkriveni su u brojnim prilikama u posljednjih pet godina.
Novembar 2016. – izveštaji kompanija Kriptowire i Anubis Networks otkrili su da su dve kineske kompanije koje su proizvodile komponente firmvera za veće kineske proizvođače telefona tajno ugradile funkcionalnost nalik zadnjim vratima u svoj kod.
Decembar 2016. – Dr.Web je otkrio zlonamerni softver ugrađen u firmver 26 modela Android pametnih telefona.
Jul 2017. – Dr.Web je pronašao verzije bankovnog trojanca Triada skrivene u firmveru nekoliko Android pametnih telefona.
Mart 2018. – Dr.Web je pronašao isti trojanac Triada ugrađen u firmver 42 druga modela Android pametnih telefona.
Maj 2018. – Istraživači Avasta pronašli su trojanski program Cosiloon u firmveru 141 Android pametnog telefona.
Januar 2019. – Upstream Systems pronašao je zlonamerni softver u aplikaciji koja je unapred instalirana na Alcatel pametnim telefonima.
Jun 2019. – BSI, nemačka agencija za kibernetičku bezbednost, pronašla je sporedna vrata u dva niskobudžetna Android telefona, koje je kupilo više od 20.000 korisnika.
Januar 2020. – Malwarebites je rekao da je pronašao malver unapred instaliran na Unimax U673c telefonima, koji prodaje Assurance Wireless (Virgin Mobile) u SAD-u.
ValdikSS je za nedavne incidente u Rusiji okrivio lokalne operatere i prodavce koji su preprodali telefone bez prethodne revizije bezbednosti. Istraživač je takođe osudio činjenicu da ne postoji nijedna ruska agencija za bezbednost telekomunikacija gde bi se ti izveštaji mogli proslediti.
Izvor: Therecord.media
