Китайская компания ACEmagic, известная своим широким ассортиментом мини-ПК, предлагает производительные устройства по относительно доступным ценам. Однако, недавно было выявлено, что как минимум одна партия устройств была поставлена с предустановленным шпионским ПО.
Проблема стала явной, когда блогер Джон Фриман с YouTube-канала The Net Guy Reviews протестировал модель ACEmagic AD08 и обнаружил вредоносные файлы, обозначенные Windows Defender. Он также утверждает, что другие модели компании ACEmagic, включая AD15 и S1, содержат аналогичное вредоносное ПО. Все эти продукты продаются на платформе Amazon, что потенциально угрожает безопасности и конфиденциальности пользователей.
По словам Фримана, первые подозрения вызвало встроенное программное обеспечение безопасности Windows, обнаружившее подозрительные файлы в разделе восстановления на SSD устройства. При детальном рассмотрении было обнаружено два подозрительных исполняемых файла - endev и edidev, спрятанных в папке "osver" в установочной папке Windows. Дальнейшее исследование выявило, что эти файлы относятся к семействам шпионского ПО Bladabindi и Redline.
Redline известен своей способностью кражи паролей браузеров, криптокошельков и взлома различных важных учетных записей, включая Steam, FileZilla, Telegram, и другие. Он также может украсть данные учетной записи VPN, отслеживать IP-адрес пользователя и избегать обнаружения антивирусами путем шифрования части своего исходного кода. После заражения данное ПО может передать личные данные злоумышленникам.
Bladabindi, в свою очередь, является трояном с бэкдором, предоставляющим хакерам удаленный доступ для кражи данных.
Небезразличным фактом является то, что эти файлы были обнаружены не только в основной операционной системе, но и в разделе восстановления, что означает, что они будут восстановлены даже после очистки диска C:/ и переустановки Windows с помощью функции "восстановить". Полное сканирование системы также выявило дополнительные неизвестные файлы в папке Windows, которые были идентифицированы как вредоносное ПО при просмотре на VirusTotal.
Интересно, что Фриман приобрел еще одну модель мини-ПК ACEmagic AD08 на Amazon и обнаружил, что она не содержит вредоносного ПО, которое было найдено в первом экземпляре. Когда он обратился к ACEmagic с вопросами, компания заявила, что проблема с вредоносным ПО затронула только первую партию AD08 и была уже решена.
