На смартфонах «для бедных», которые распространяются в США, обнаружено неудаляемое adware +8






В США для самых бедных слоев населения распространяются смартфоны UMX U686CL. Их продают, а не раздают бесплатно, но цена крайне низкая и составляет около $35. Это китайские смартфоны, и, как оказалось, один из их программных компонентов — зловред, удалить который просто невозможно.

Смартфоны поставляются по государственной программе Assurance Wireless, в ней принимают участие Virgin Mobile и субсидирует американский правительственный фонд Universal Services Fund. Программа работает уже несколько лет, а смартфон UMX U686CL — самый дешевый из всей линейки.

Поставляют его из Китая. В октябре прошлого года эксперты компании Malwarebytes обнаружили, что на этих смартфонах есть предустановленные приложения — вредоносы.

Речь идет о программном элементе Wireless Update, который используется для обновления ПО на смартфоне. Но это еще и вредоносное ПО Adups, которое собирает пользовательские данные. Это приложение разработала компания Adups, откуда и название программы.

Если удалить Wireless Update, прошивку телефона обновить будет нельзя, поскольку Google напрямую не позволяет загружать апдейт устройства.

Получается, что Adups выполняет одновременно роль защитного ПО, поскольку дает возможность защититься от критических уязвимостей пользователям. Но оно же и загружает на устройство пользователя другие программы, включая те, что дают возможность разработчикам разных приложений накручивать загрузки. При этом нет никакой гарантии того, что однажды разработчики Adups не решат установить вредоносный софт.

Но и это еще не все. Дело в том, что на UMX U686CL установлено еще одно ПО, которое вызывает сомнение у специалистов по информационной безопасности. Это Android/Trojan.Dropper.Agent.UMX, который на устройстве выполняет роль контрольной панели.

Различные инструменты позволяют удалить вредоносы, но в этом случае пропадает возможность обновить ПО на смартфоне, а также изменять настройки. Фактически, удалив эти два приложения, пользователь теряет возможность нормально работать с телефоном.

По мнению экспертов компании, обнаружившей проблему, похожие проблемы есть и у других поставщиков недорогих смартфонов, причем количество adware и malware на таких устройствах увеличивается.

«Если предположить, что бюджетные смартфоны продаются сильно ниже себестоимости, то у производителя, конечно, появляется мотив смотреть сквозь пальцы на тот факт, что в устройства встраиваются программные компоненты, которые компенсируют «недополучение прибыли», пусть даже и не самым корректным и законным образом. Очень странно, впрочем, что смартфоны, продающиеся в рамках субсидируемой государством программы, не проходят жёсткой проверки на предмет нежелательного ПО, — получается, что по госпрограмме распространяются небезопасные устройства. А информационная безопасность отдельно взятого устройства, подключённого к Сети, это риск далеко не только для одного его пользователя», — заявил Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services.

Что касается компании Assurance Wireless, ее представители уже успели прокомментировать ситуацию, заявив, что приложения, которые упомянуты в СМИ, не являются malware.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (38):

  1. wxmaper
    /#21128040

    При этом нет никакой гарантии того, что однажды разработчики Adups не решат установить вредоносный софт.

    Нет никакой гарантии, что однажды разработчики Android/ios не решат превратить все смартфоны в кирпич.

    • balamutang
      /#21128742

      Есть гарантия что не превратят, по крайней мере андроиды.
      Никто напрямую не льет из гугла обновления андроида, обновления ОС прилетает от производителя устройства, который дает как раз гарантию (и который тестирует у себя это обновление прежде чем выкатить его).
      С айфоном немного не так, но принцип тот же, производитель исполняет гарантийные обязательства.

      • DerRotBaron
        /#21130280

        У гугла тоже есть возможность:


        1. У их приложений есть максимальные пользовательские права — администратор устройства, и даже несколько больше, что позволяет вызывать factory reset из кода.
        2. В рамках "защиты от воровства" гугл требует ввести пароль от учетки, если при сбросе до заводских не выйти из аккаунта (вроде что-то записывается на специальный раздел флешки)
        3. Приложения гугла самостоятельно обновляются без ведома пользователя и производителя.

        Комбинацией этих фич можно вполне себе окирпичить устройство так, что исправить его можно будет только оффлайн-перепрошивкой. При наличии прошивки от вендора, вырезающей гуглосервисы.

        • balamutang
          /#21130692

          Я к тому что гарантия есть. Окирпичивание не нанесет материального ущерба конечному пользователю, ущерб будет только вендору, которому придется в рамках действующей гарантии восстановить работу устройства, а у вендора могут появиться вопросы к гуглу.

          • wxmaper
            /#21132770 / +1

            Т.е. если взять самый худший сценарий, скажем — суровейший военный конфликт и прямое указание президента "окирпичить" врагов, с которым никто и спорить не подумает, вы серьезно надеетесь на восстановление в рамках гарантии производителя?


            Я это к тому пишу, что возможности есть как и там (компания из статьи), так и тут (гугло-эплы), но в настоящий момент времени их использование нецелесообразно ни для первых, ни для вторых.

            • balamutang
              /#21140222

              А когда окирпичивание целесообразно?
              Окирпичивание вообще нецелесообразно, тк это частные проблемы пользователя на первые день-два, пока пользователь не купит новый смарт или звонилку.
              Так можно только мелко подгадить (при чем себе тоже), но нанести какого-то значимого ущерба не получится, это же не аппарат жизнеобеспечения и не элемент критично важной инфраструктуры.

  2. Baigildin
    /#21128082

    Как говорит народная пословица "Бесплатный 35$ смартфон, только с мышеловкой вирусом.
    P.S. Интересно, кто их покупает? Наверняка бедные слои знают про китайские сайты. И для них наверное закупатся там техникой ещё дешевле.

    • ilmarin77
      /#21128222

      Интересно, кто их покупает? Наверняка бедные слои знают про китайские сайты. И для них наверное закупатся там техникой ещё дешевле.

      В Штатах бедные слои не всегда знают, что такое китайский сайт, да и кредитных карт у них нет.

    • Areso
      /#21129946

      Дешевые (да и недешевые) китайские смартфоны тоже идут зачастую нашпигованными «полезной нагрузкой».
      Так что тут еще бабушка надвое сказала.

  3. kAIST
    /#21128096

    Статья из серии "учёный изнасиловал журналиста".
    Каким образом, удалив этот софт, пользователь лишается возможность нормальной работы на смартфоне?
    У каких производителей нет возможности со следующим апдейтом чего нибудь эдакого установить? То есть в теории любой производитель это может сделать. Так чем же ситуация уникальна?

    • DjPhoeniX
      /#21128150

      Каким образом, удалив этот софт, пользователь лишается возможность нормальной работы на смартфоне?

      Насколько я понял из статьи, вредоносные модули встроены в системный софт ("Обновление ПО" и "Настройки"). Удалить модули, не задев критически важные системные части, почти невозможно.


      У каких производителей нет возможности со следующим апдейтом чего нибудь эдакого установить?

      У всех есть, но почему-то они этого не делают — видимо, дорожат репутацией (хотя, реклама в шторке у кого-то уже была — сяоми, вроде).


      Так чем же ситуация уникальна?

      Тем что "дешёвость" обеспечена гос.программой, но при этом (поверх обеспечения) производитель пытается заработать весьма сомнительными методами.

      • vp7
        /#21128382

        Дорожат репутацией… не смешите.
        Самый последний системный апдейт на Alcatel OneTouch Idol3 притащил на телефон кучу неудаляесой рекламы и самый настоящий вирус, помеченный как "системное приложение".


        Почитайте тему на 4pda + по этим граблям прошёл мой коллега, да и меня чуток зацепило. Суть вируса — подключение платных подписок на сервисы коротких номеров.


        p.s. Да, телефон старый и это было давно,… но было же.

        • DjPhoeniX
          /#21128462

          Ну вот он и репутационный риск на тему недобросовестного заработка — купите ли вы себе что-то от Alcatel, зная, что он вытворяет?

          • DaemonGloom
            /#21128942

            Только тут надо избегать не Alcatel, а весь TCL. А они производят устройства под кучей разных «брендов» сейчас.

        • Neusser
          /#21129472

          А когда этот апдейт был? Я пару лет этим идолом пользовался, никакой рекламы не было и платных подписок не было. Вроде все апдейты ставил.

          • vp7
            /#21129682

            В августе 2017 года, но сам апдейт был доступен немного ранее (возможно с начала лета), просто поставил его не сразу.


            В этом апдейте напихали кучу рекламы в системные приложения и поставили тот самый sms-вирус. Сейчас покопался в почте и нашёл детали — телефон, на котором вообще не было никакого лишнего софта (стоковая прошивка + игра ingress) ни с того ни с сего начал заходить на страницу подписки оператора и соглашаться с условиями, от проблем спас только корпоративный тариф, на котором подписки запрещены.
            Можно было бы предположить, что это мой персональный косяк, если бы коллега с таким же телефоном с разницей в ± пару дней не получил тоже самое. Детальное разбирательство… обнаружило третьего коллегу с той же проблемой (!!).


            Я у себя в итоге поудалял почти всё, что смог найти, а коллега удалил некий "IW Service" и у него тоже проблема решилась.

            • Neusser
              /#21131066

              Вспомнил, что появилась там раз реклама в приложении — в погоде. Но это было после апдейта самого приложения, а после системных апдейтов ничего не было. Может, на разные страны разные апдейты.

              • vp7
                /#21131322

                У меня реклама в большом количестве появлялась в файловом менеджере, про погоду не помню, возможно там тоже.


                Либо мы с вами из разных регионов (или телефоны были с разными условиями "для поставки в..."), либо варианты обновлений накатывались в случайном порядке.


                Мой телефон покупался а офисе сотового оператора, в Москве, причём шёл с хорошей скидкой в комплекте с контрактом.

                • Neusser
                  /#21132296

                  Мой из Германии.
                  У нас могли быть вообще совершенно разные телефоны. Вспомнил, что их было как минимум две модификации — две симки, 16 гиг, без слота для сд-карты (именно такой у меня валяется) и одна симка, 8 Гб со слотом для карты. Даже на многих тематических сайтах была путаница в спецификациях.

        • NetBUG
          /#21130428

          … и на Blackberry Key1/ Key2 тоже.

      • Victor_koly
        /#21128656

        Удалить модули, не задев критически важные системные части, почти невозможно


        Может и выйдет удалить. Но скажем в меню «Настройки» любого Андроид-устройства идут пункты «Вай-Фай», «Блютуз» и «Передача данных». Логично предположить, что после удаления ничего из этого включить не выйдет. Ещё может включение/отключение GPS.

    • balamutang
      /#21128768

      На самом деле врядли случатся какие-то апдейты для дешевых смартов (о них производители забывают сразу после отгрузки), адупс можно спокойно сносить. А если вдруг чудо произойдет и производитель таки выкатит новую прошивку — ее можно будет кабелем обновить.

  4. konchok
    /#21128204 / +1

    >вредоносное ПО Adups, которое собирает пользовательские данные

    В таком случае весь софт Google это тоже зловред. Что конкретно делал плохого этот Adups я так и не понял?

    • towin
      /#21128272

      В одном случае это Google — огромная компания, дорожащая своим именем и биржевым курсом акций, отвечающая по законам США, регулярно выплачивающая миллиардные штрафы по всяким искам.
      В другом случае — непонятные китайцы, которые ни перед кем не отвечают, у которых есть поставленная правительством задача собирать любую информацию, к которым какой-нибудь хакер может занести бабла и распространить через их каналы зловреда.

      • konchok
        /#21128402

        Прочитайте лицензионное соглашение Гугела и увидите там ясное absolute no warranty. Дорожат они своим именем, вот насмешили. Просто там зловреды правильные и одобренные АНБ, ФБР и далее по списку.

        • balamutang
          /#21130746

          Там и зловредов не надо, просто данные юзера все трехбуквенные конторы почитают когда им надо будет.
          Но гугл хотя бы не тырит мелочь по карманам как китайцы, купившие доступ к твоему телефону у других китайцев.

        • towin
          /#21131160

          ФБР и АНБ ваши данные не нужны, если вы простой обыватель, а не террорист-педофил.
          Даже если они увидят ваши звонки, фотки, банковские операции, вам это ничем не грозит. А может даже обернется более быстрой выдачей туристической визы, т.к. они уже знают кто вы и что у вас на уме.

          А вот китайским хакерам не западло продать доступ к вашему смартфону русским кардерам, которые украдут ваши деньги или еще как-то воспользуются доступом (поставят майнинг-трояна?).

          • solariserj
            /#21139148

            Как понять не нужны? Тогда зачем пишут компромат? Или когда дотянуться руки воспользоваться им?


            обернутся более быстрой выдачей визы.

            Или нет. Ведь я 10 лет назад скачал 5 песенок Бритни Спирс, чем нанес америкаской экономике недополученной прибыли в размере $3млрд.

            • towin
              /#21139552 / +1

              Пишут на всякий случай.
              Пусть например нужно идентифицировать человека с номером сотового +712345678, который командовал расчетом Бук, уничтожившим гражданский самолет. А вы, по совпадению, двоюродный племянник этого человека и в вашей телефонной книге он записан как «Иван Иваныч Иванов». Да еще среди ваших фотографий в соцсети есть фото человека, сильно похожего на майора Иванова И.И. с военной части №2134232.
              Вот и пригодилась ваша информация в деле расследования убийства 200 гражданских лиц, хотя вы об этом даже не узнаете.
              А до песенок Бритни ФБР дела нет, у них задачи поважнее.

              • Victor_koly
                /#21141062

                Насчет дела поважнее. Как я понимаю, если какой-то маньяк успеет что-то сделать в 2 штатах — этим могут заняться «федералы». Но наверное «создать сайт, с которого 320 тысяч раз с разных штатов скачают песенки» не тянет на их область полномочий.

  5. Naves
    /#21128362

    В microbit в России тоже в «обновляторе» зашит загрузчик всякого г. Если удалить этот обновлятор, то уже включается какой-то другой загрузчик в системных компонентах, и локализовать его проблематично. Причём активируется весь этот мусор через несколько месяцев после использования, а не сразу.
    Спасает от этого всего только файрволл.

    • McHummer1
      /#21130152

      Как это? Там ведь всего лишь микроконтроллер nRF51822, никакой оси и проприетарных драйверов. Там тупо негде вирус прятать

  6. Gorily
    /#21128400

    Начал было писать, что это новость 2016 года под новым соусом: (https://xakep.ru/2016/11/16/adups-fota-backdoor/), что многие производители уже давно что-то мониторят и предустанавливают и вообще статья очень голословна, но во время попытки собрать пруфы натолкнулся на статью (возможно оригинал, откуда пошла и эта новость?) от Malwarebytes: blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware
    Всем советую читать именно её, там английский, но очень простой и текста немного. Там поэтапно разбираются в телефоне и чётко разъясняют, что не так и как это исправить.

  7. fallenworld
    /#21129160

    Ситуация не новая. Несколько лет назад была точно такая же проблема с телефонами Doogee. Кстати поставщик вируса тоже был Adups. Если я правильно помню закончилось все тем, что гугл забанил производителя до тех пор, пока прошивку не обновили на чистую.

    • S-trace
      /#21129206

      У JSR D10F в прошивке Highscreen Boost IIse v2.7 тоже малварь попадалась.
      Правда, только на этой одной версии, но факт есть факт.