Пристрої Android мають складні відносини з безпекою. Хоча сама операційна система і смартфони Google Pixel з часом продемонстрували стійкість до програмних експлойтів, часта поява шкідливих застосунків в Google Play і вразливість пристроїв від деяких сторонніх виробників дещо заплямували репутацію Android як безпечної ОС.

Тепер ця репутація може постраждати ще більше, адже одразу два дослідження говорять про те, що мільйони пристроїв на Android продавалися з попередньо встановленим шкідливим програмним забезпеченням, яке не можна видалити, повідомляє ArsTechnica.

Перший звіт підготувала компанія Trend Micro, що спеціалізується на кібербезпеці. Її дослідники виявили, що до 8,9 мільйона смартфонів близько 50 різних брендів були заражені шкідливим програмним забезпеченням. Дослідники з фірми Sophos, що займається питаннями безпеки, назвали його Guerrilla. Воно було розміщене в 15 шкідливих застосунках, опублікованих в магазині Google Play.

Після встановлення Guerrilla відкривав «чорний хід», змушуючи заражені пристрої регулярно зв’язуватися з віддаленим командно-контрольним сервером, перевіряючи наявність нових шкідливих оновлень. Ці оновлення збирали дані користувачів, які зловмисники, яких компанія Trend Micro називає Lemon Group, могли продавати рекламодавцям. Після цього Guerrilla таємно встановлювало агресивні рекламні платформи, які могли швидко розряджати батарею і негативно впливати на роботу пристроїв.

Країною з найбільшою кількістю заражених стали США, за ними йдуть Мексика, Індонезія, Таїланд та росія.

Guerrilla – це велика платформа з майже десятком плагінів, які можуть перехоплювати сеанси користувачів WhatsApp для відправки небажаних повідомлень, встановлювати зворотний проксі-сервер з інфікованого смартфона для використання мережевих ресурсів ураженого мобільного пристрою, а також впроваджувати рекламу в легальні застосунки.

На жаль, Trend Micro не повідомила, які саме бренди постраждали, і компанія не відповіла на запити про надання цієї інформації.

У другому звіті, опублікованому TechCrunch, йдеться про кілька лінійок телевізійних приставок на базі Android, що продаються через Amazon, з попередньо завантаженим шкідливим програмним забезпеченням. Ці ТБ-приставки, ідентифіковані як моделі T95 з індексом h616, підключаються до командно-контрольного сервера, який може встановити будь-яку програму, яку забажають творці шкідливого програмного забезпечення. За замовчуванням на приставках встановлюється «клікбот», який генерує рекламний дохід, таємно натискаючи на рекламу у фоновому режимі.

TechCrunch посилається на звіти дослідника Даніеля Мілішича, який придбав одну із заражених ТБ-приставок. Його висновки були незалежно підтверджені Біллом Бадінгтоном, дослідником з Electronic Frontier Foundation.

На жаль, явище продажу Android-пристроїв з попередньо встановленим шкідливим програмним забезпеченням не є новим: за останні роки було зафіксовано щонайменше п’ять таких інцидентів. Усі постраждалі моделі належали до бюджетного сегменту.