Приложение было разработано законным китайским производственным гигантом TCL.
Исследователями безопасности компании Up-Secure Secure-D было обнаружено, что предустановленное приложение Android на смартфонах Alcatel тайно скачивает данные геолокации, адреса электронной почты и идентификационные номера телефонов и отправляет данные на сервер в Китае.
Аналитики заявили, что приложение Weather Forecast — World Weather Accurate Radar запрашивает чрезмерные разрешения и подписывает пользователей на платные услуги, за которые жертвам выставляют счета через сотовых операторов. Кроме того, оно осуществляет мошенничество с рекламой, посещая веб-сайты и нажимая на рекламу — все это в фоновом режиме, без ведома пользователя.
«Вся эта деятельность, не санкционированная пользователем и невидимая ему, потребляет большие объемы данных», — отметили исследователи Secure D в январской публикации. «Мы записывали от 50 МБ до 250 МБ данных в день, которые потребляются нежелательной деятельностью приложения». В таких местах, как Бразилия, где распространены предоплаченные тарифные планы и услуги передачи данных стоят дорого, это означает, что пользователи обнаруживают, что их квоты передачи данных превышены за одну ночь.
Исследователи отметили, что в Бразилии 1 ГБ данных стоит эквивалент 6 часов работы с минимальной заработной платой, и что такое положение характерно для многих развивающихся рынков.
Проблема
Наблюдая за аномально высоким уровнем использования данных в Бразилии и Малайзии (а также деятельностью в Нигерии, Южной Африке, Египте, Кувейте и Тунисе), исследователи обратились к группе пострадавших пользователей. Жертвы сказали, что они сталкивались с нежелательными обвинениями, а также видели перегрев (из-за чрезмерного использования процессора). Аналитики приобрели несколько телефонов и провели дальнейшее расследование.
В ходе эксперимента были закуплены нескольких устройств у их владельцев с целью исследования их в лаборатории. Один из них — Alcatel A3 Max — от пользователя, устройство которого инициировало более 500 запросов на транзакции за июль и август.
Активность исходила от пакета приложений с именем com.tct.weather, который поставляется с моделями Alcatel Pixi 4 и A3 Max. Приложение также было доступно в Google Play, обещая «точные прогнозы и своевременные оповещения о погоде», где оно было установлено более 10 миллионов раз (Google уже удалил его).
По словам исследователей, оказалось, что приложение было создано законным поставщиком телефонов TCL Corp, китайским производственным гигантом, который лицензирует и производит телефоны Alcatel в Азии. Компания не сделала заявления по этому вопросу, хотя представитель Wall Street Journal заявил, что в настоящее время компания «оценивает новых консультантов по безопасности, которые могут предоставить дополнительную проверку безопасности наших мобильных приложений, которые мы разрабатываем».
Компания также обновила приложение в ноябре, после чего мошенничество с подпиской прекратилось.
Тем не менее, TCL имеет другие приложения погоды в Google Play, где в обзорах пользователи жаловались на его некорректную работу.
Масштаб Воздействия
В целом, независимо от того, были ли они предустановлены на устройствах Alcatel или загружены с официального магазина Google Play, метеорологическое приложение сделало более 27 миллионов попыток совершить транзакцию на семи рынках всего за два месяца анализа, утверждают исследователи.
В Бразилии почти 3 миллиона попыток приобретения цифровых услуг было совершено с 128 845 уникальных номеров мобильных телефонов. В Кувейте было предпринято 78 940 попыток транзакций с устройств Alcatel.
По материалам https://threatpost.com/pre-installed-android-app-impacts-millions-with-slew-of-malicious-activity/140800/
