В Android-устройствах с прошивкой AdUps обнаружен новый бэкдор

В середине ноября прошлого года SecurityLab писал о проблеме, затрагивающей ряд бюджетных Android-смартфонов торговой марки BLU Products с прошивкой производства китайской компании Shanghai AdUps Technologies. Как тогда выяснилось, прошивка активно собирала и передавала в зашифрованном виде на сервер в Китае персональную информацию владельцев мобильных устройств. Передаваемые данные включали текстовые сообщения, списки контактов, историю звонков с телефонными номерами, идентификаторы IMSI и IMEI.

Бэкдор был скрыт в коде встроенного неудаляемого приложения com.adups.fota, ответственного за обновление прошивки «по воздуху» (firmware-over-the-air update, FOTA). Как тогда считали эксперты, помимо компании BLU, AdUps поставляла прошивку с бэкдором и другим производителям мобильных устройств. По оценкам специалистов, сомнительный компонент был установлен на более чем 700 млн устройств, в основном на дешевых смартфонах и в некоторых случаях Android-планшетах Barnes & Noble NOOK.

После известия об обнаружении бэкдора многие ритейлеры отказались продавать уязвимые устройства. В результате под давлением производителей смартфонов и Министерства внутренней безопасности США Shanghai AdUps Technologies выпустила «чистую» версию прошивки. Однако совсем недавно эксперты Malwarebytes обнаружили в прошивке еще один сомнительный компонент. Речь идет о приложении под названиями com.adups.fota.sysoper или com.fw.upgrade.sysoper, которое в списке приложений смартфона фигурирует как UpgradeSys (FWUpgradeProvider.apk). Как и в предыдущем случае, пользователи не могут удалить или деактивировать UpgradeSys, если не имеют прав суперпользователя. Данное приложение не собирает информацию на смартфоне, но может «устанавливать и/или обновлять приложения без ведома и согласия пользователя».

Эксперты пока не заметили какой-либо вредоносной активности приложения, но не исключают ее вероятность в будущем. По их мнению, AdUps просто забыла удалить вредоносный код из компонента UpgradeSys. В настоящий момент число смартфонов, в которых присутствует данный компонент, неизвестно.