Ваша фоторамка — троянский конь. 500 тысяч устройств Uhale отправляют данные в Китай, имеют root-доступ и заражены с завода

leer en español

Quokka Whale TV Uhale Android вредоносное ПО уязвимости фоторамка
Ваша фоторамка — троянский конь. 500 тысяч устройств Uhale отправляют данные в Китай, имеют root-доступ и заражены с завода
Quokka Whale TV Uhale Android вредоносное ПО уязвимости фоторамка

17 дыр, root по умолчанию и отключённый SELinux.

image

На рынке цифровых фоторамок обнаружена масштабная проблема: устройства на базе Android, выпускаемые под маркой Uhale, загружают вредоносные компоненты при старте системы и содержат набор критических уязвимостей, позволяющих получать полный контроль над устройством. К этому выводу пришли специалисты Quokka, изучившие поведение приложения Uhale и сопутствующей платформы, разработанной китайской фирмой Whale TV. Их попытки уведомить разработчика с мая этого года остаются без ответа.

По результатам анализа выяснилось, что часть таких рамок сразу после включения обращается к удалённым серверам, расположенным в Китае, скачивает приложение версии 4.2.0 и автоматически запускает обновлённую сборку. После перезагрузки встроенный клиент инициирует загрузку и выполнение JAR или DEX-файла, который сохраняется во внутреннем каталоге и продолжает запускаться при каждом последующем включении. Исследователи отмечают совпадения с семействами вредоносных программ Mezmess и Vo1d — от префиксов пакетов и строк до структуры доставки и расположения артефактов в системе. Точный вектор заражения при этом пока не установлен.

Дополнительной опасностью стал системный уровень устройств: проверенные фоторамки работают с отключённым SELinux, поставляются с уже активированным root-доступом и подписаны тестовыми ключами AOSP. Такой набор делает их уязвимыми из коробки и создаёт условия для беспрепятственного выполнения любых операций.

Помимо автоматической доставки вредоносного кода, специалисты выявили 17 уязвимостей в программном обеспечении, 11 из которых получили идентификаторы CVE. Среди них отмечены самые серьёзные проблемы.

Ошибка CVE-2025-58392 и смежная CVE-2025-58397 связаны с незащищённой реализацией TrustManager, из-за которой злоумышленник может подменять защищённые ответы и выполнять произвольные команды с привилегиями суперпользователя.

Недочёт CVE-2025-58388 обнаружен в механизме обновления, где необработанные имена файлов напрямую попадают в вызываемые оболочкой команды и позволяют незаметно внедрять APK любого содержания.

Проблема CVE-2025-58394 подчёркивает, что все изученные модели поставляются без активного SELinux, имеют root-доступ по умолчанию и полагаются на публичные тестовые ключи.

Уязвимость CVE-2025-58396 показывает, что предустановленный клиент открывает файловый сервер на TCP-порту 17802, принимающий любые загрузки без проверки прав, что позволяет любому устройству в локальной сети перезаписывать или удалять файлы.

В случае CVE-2025-58390 выявлены ошибки обработки SSL/TLS в WebView, игнорирующие сертификаты и смешанное содержимое, что делает возможной подмену отображаемой информации и локальное фишинговое воздействие.

Специалисты также обнаружили жёстко встроенный AES-ключ, применяемый для расшифровки сетевых ответов sdkbin, а в ряде моделей — устаревшие версии библиотек и компоненты Adups.

Такой набор оставляет программный стек без защитного слоя и открывает дополнительные риски, связанные с цепочкой поставок. Оценить число пользователей сложно: фоторамки продаются под разными торговыми марками, а информация о используемой платформе умалчивается. Приложение Uhale превышает полмиллиона загрузок в Google Play, а в App Store оставлено свыше 11 тысяч отзывов. На маркетплейсах количество обзоров на устройства той же платформы также приближается к тысяче.