Дешёвые китайские смартфоны уличили в воровстве денег и данных у пользователей со всего мира
Предустановленное вредоносное ПО на недорогих китайских телефонах крадёт данные и деньги у пользователей из развивающихся стран. Например, смартфон Tecno W2 может продаваться в некоторых регионах буквально за $30 — намного дешевле сопоставимых моделей от Samsung, Nokia или Huawei. Но такая дешевизна влечёт за собой неприятные последствия.
Китайская компания Transsion производит смартфоны и обычные сотовые телефоны для развивающихся стран под маркой Tecno и другими. С момента выпуска своего первого аппарата в 2014 году компания, например, стала лидером по продажам телефонов в Африке, обогнав прежних лидеров в лице Samsung и Nokia.
Но успех может иметь свою цену. Пользователи в Африке, Эфиопии, Камеруне, Египте, Гане, Индонезии и Мьянме жаловались, что всплывающие объявления на Tecno W2 прерывали звонки и чаты, средства на их мобильном счету таинственным образом расходовались; а также поступали сообщения о платных подписках на неизвестные приложения. Расследование Secure-D — службы безопасности мобильных устройств — показало, что всё это было неспроста. Смартфоны были «из коробки» заражены xHelper и Triada — вредоносными программами, которые тайно загружали приложения и подписывали людей на платные услуги без их ведома.
Система Secure-D, которую некоторые операторы мобильной связи используют для защиты своих сетей и клиентов от мошеннических транзакций, в период с марта по декабрь 2019 года заблокировала 844 000 транзакций, связанных с предустановленным вредоносным ПО на телефонах компании Transsion. Управляющий директор Secure-D Джеффри Кливз (Geoffrey Cleaves) сообщил BuzzFeed News, что данные пользователей активно задействовались при попытках автоматической подписки на платные услуги. «Например, в Африке аппараты Transsion формируют 4 % трафика пользователей и при этом на такие смартфоны приходится более 18 % всех подозрительных транзакций», — сказал господин Кливз.
Это ещё один пример того, чем оборачиваются попытки некоторых людей сэкономить, купив аппарат от малоизвестной марки. На дешёвых китайских смартфонах очень часто предустановлено вредоносное ПО, которое взимает своеобразный налог. При этом представитель Transsion сообщил журналистам BuzzFeed News, что скрытые программы Triada и xHelper появляются на телефонах компании из-за некоего неизвестного звена в цепочке поставок.
«Мы всегда придаём большое значение безопасности данных потребителей и безопасности продукции, — заявила компания. — Каждое ПО, установленное на устройстве, проходит серию строгих проверок безопасности, таких как наша собственная платформа сканирования безопасности, Google Play Protect, GMS BTS и тест VirusTotal». Представитель компании добавил, что Transsion не извлекала выгод из вредоносного ПО, и отказался сообщить, сколько мобильных телефонов было заражено.
Хотя компания Transsion в значительной степени неизвестна за пределами развивающихся стран, она является четвёртым по величине производителем мобильных телефонов в мире после Apple, Samsung и Huawei, причём это — единственный производитель из числа лидеров, который сосредоточен исключительно на рынках развивающихся стран.
Необходимость снижения затрат открывает двери для вредоносных программ и других уязвимостей. «Мошенники могут воспользоваться желанием потребителя купить устройство по минимальной цене, предлагая свои аппаратные или программные услуги даже ниже себестоимости, зная, что они затем смогут возместить затраты с помощью мошенничества», — сказал Джеффри Кливз.
Secure-D ранее обнаруживала предустановленное вредоносное ПО на телефонах марки Alcatel китайского производителя мобильных телефонов TCL Communication в Бразилии, Малайзии и Нигерии. Она также расследовала, как китайские вредоносные программы, предустановленные на дешёвых смартфонах в Бразилии и Мьянме, грабили пользователей с помощью мошеннических транзакций.
Подобные схемы работают не только в развивающихся странах, но и в США. В этом году служба безопасности Malwarebytes обнаружила предустановленное вредоносное ПО китайского происхождения на двух телефонах, предлагаемых малообеспеченным гражданам в рамках программы правительства США Lifeline, которая предоставляет субсидированные телефоны и удешевлённый трафик. Оба телефона были произведены китайскими компаниями.
Старший аналитик по вредоносному мобильному ПО в Malwarebytes Натан Коллиер (Nathan Collier), сказал, что дешёвые китайские смартфоны очень часто несут с собой угрозы безопасности для людей во всем мире. «Мы снова и снова сталкиваемся с одной и той же историей, когда дешёвый телефон китайского производства с китайским вредоносным ПО попадает в руки людей, которые не могут позволить себе более дорогой аппарат, — сказал он. — Предустанавливать вредоносное ПО в телефон до покупки потребителем — это отвратительно и неприятно».
Господин Коллиер исследовал Triada и xHelper и сказал, что это было первым в его практике вредоносным ПО, которое остаётся в рабочем состоянии даже после сброса аппарата к заводским настройкам. Transsion заявила, что выпустила заплатку против Triada в марте 2018 года после того, как в отчётах было выявлено присутствие этого ПО на смартфонах W2. Компания также добавила, что в конце 2019 года выпустила исправление и для xHelper. В обоих случаях владельцам телефонов необходимо было вручную загрузить исправления и обновить свои телефоны.
Сейчас Secure-D продолжает блокировать транзакции с телефонов Transsion, но в гораздо меньшем объёме. Специалисты полагают, что xHelper вошла в стадию бездействия и пребывает в спящем режиме на миллионах устройств, а злоумышленники просто ждут возможности нанести новый удар.