Android-устройства могут поставляться со встроенным вредоносным ПО

Android-устройства могут поставляться со встроенным вредоносным ПО и бэкдорами из-за недостаточного контроля и проверки. По словам исследователя Мэдди Стоун (Maddie Stone) из Google Project Zero, злоумышленники пользуются этой возможностью для размещения вредоносного кода прямо на стадии разработки и заражения таким образом цепочки поставок.

Сертифицированные устройства Android, поставляющиеся с предварительно установленными приложениями Google, используют утвержденные образы сборки для мобильной операционной системы. Они проходят тщательное тестирование перед выпуском потребителям, проверяющее соблюдение модели безопасности и разрешений Android, а также наличие последних обновлений ОС.

Однако большинство поставщиков Android используют более дешевую версию операционной системы Google — AOSP (Android Open-Source Project). Защиту от вредоносных приложений в таком случае обеспечивает встроенный Google Play Protect (GPP). Злоумышленники видят возможность в этой схеме, ведь достаточно убедить одного производителя включить вредоносный код среди предустановленных приложений и заражение способно охватить тысячи пользователей.

В качестве примера Стоун привел ботнет Chamois , использующийся для мошенничества через SMS, клики, установки приложений. Вредонос распространялся в виде SDK сторонним разработчикам, которые принимали его за рекламную библиотеку и невольно включали в свое приложение. Операторам Chamois удалось заразить около 7,4 миллиона устройств в марте 2018 года. Пользователи видели на своих телефонах предустановленное приложение, которое могло загружать бэкдор Chamois, троян Snowfox и ПО для кликфрода.