Эксперты по информационной безопасности обнаружили в китайских смартфонах производителя Transsion предустановленное вредоносное ПО. Установленный нежелательный софт крадет конфиденциальную пользовательскую информацию, показывает навязчивую рекламу, а еще списывает деньги с привязанных счетов владельцев.
В РФ и европейских странах бренд Transsion малоизвестен, однако производитель является одним из крупнейших в мире. Компания Transsion была основана около 15 лет назад, поставки продукции (смартфонов и другой электроники) ориентированы у нее больше на развивающиеся страны Африки. Максимальное количество владельцев смартфонов Transsion наблюдается в ЮАР, Гане, Египте, Камеруне, Эфиопии.
Вредоносное ПО в устройствах Transsion было обнаружено антифрод-платформой Secure-D компании Upstream. Эксперты по информационной безопасности провели полное расследование происхождения подозрительных транзакций.
В общей сложности было зарегистрировано более 200 000 уникальных устройств, с которых совершено на данный момент около 19,2 млн. подозрительных транзакций – велика вероятность, что вредоносное ПО автоматически подписывает владельца телефона на платные услуги, о чем тот и не подозревает. Часть подобных транзакций было заблокировано.
Специалисты Upstream отмечают, что транзакции выполняются семейством приложений под названием com.mufc, источник которых неизвестен и не может быть загружен из Google Play.
Джеффри Кливз, глава отдела Secure-D в Upstream, рассказал о текущем состоянии мошенничества с мобильной рекламой: «Мошенничество с мобильной рекламой быстро превращается в эпидемию, которая, если ее не остановить, задушит мобильную рекламу, подорвет доверие к операторам и приведет к тому, что пользователи вынужденно будут тратить деньги на ненужные им услуги».
Расследование Secure-D подтвердило, что устройства Tecno W2 компании Transsion поставлялись с предустановленным вредоносным ПО, связанным с Triada. Triada – это популярное вредоносное ПО, которое действует как программный бэкдор и загрузчик вредоносных программ. Вредоносная программа использует привилегии устройства верхнего уровня для выполнения произвольного вредоносного кода после получения инструкций от удаленного сервера управления и контроля перед тем, как скрыть свое присутствие внутри постоянных компонентов системы, чтобы избежать обнаружения.