Vastavalt uutele turvauuringutele hakati Aafrikas müüma tuhandeid odavaid Android-nutitelefone koos juba eelseadistatud pahavaraga.
Esmaspäeval avaldas mobiilsideettevõte Upstream Systems aruande selle kohta, kuidas Triada nime all tuntud vastik pahavara tüvi on kiskunud madala sissetulekuga tarbijatele üle tosina Aafrika riigi.
Tavaliselt jõuab pahavara Android-seadmesse pärast seda, kui omanik on installinud võltskoodi sisaldava võltsitud kolmanda osapoole rakenduse.
Kuid Upstream märkas, et Triada pahavara eelinstalliti tuhandetele Tecno W2 telefonidele Hiina ettevõttelt Transsion, enne kui see müüdi kohalikele tarbijatele sellistes riikides nagu Etioopia, Kamerun ja Egiptus.
BuzzFeedi andmetel müüdi W2 nii vähe kui 30 dollarit, kuid see võib lõppeda pahaaimamatute ohvrite rüüstamisega.
Seda seetõttu, et telefon laadiks alla täiendava pahavara nimega xHelper, mis saaks tellida omanikule kulukaid digitaalteenuseid.
"Kui tellimiskatsed oleksid olnud edukad, oleksid kaasatud andmeteenused kulutanud iga kasutaja ettemakstud eetriaja - ainsa viisi digitaalsete toodete eest tasumiseks paljudel arenevatel turgudel," ütles Upstream.
Lisaks tegeleb xHelper klõpsupettusega, klõpsates seadme taustal rippuvatel reklaamidel.
"Kõik need toimingud toimusid täielikult taustal ja olid seadme omanikele nähtamatud," lisas see.
Pettusevastast süsteemi mobiilsideoperaatoritele müüv Upstream hakkas kahtlast tegevust märganud 2019.
aasta märtsis.
Sellest ajast alates on ettevõte blokeerinud üle 19,2 miljoni tehingu, mis on seotud pahavaraga, mis üritas kasutajaid nende loata salaja tellimisteenustele registreerida.
.
Tegevust jälgiti enam kui 200 000 ainulaadse seadmega.
Upsteam otsustas edasi uurida ja omandas mõned Tecno W2 tooted ning leidis, et pahavara installib end uuesti ka pärast tehase taaskäivitamist.
Katsed pahavara eemaldada teatud rakenduste desinstallimisega ei teinud samuti midagi, kuid põhjustasid viis minutit hiljem uuesti ilmnemise.
Niisiis, kuidas pahavara telefonidesse sattus? Transsion ütles BuzzFeedile, et ta hankis nakkused tuvastamata tarneahelaprotsessis olevale müüjale, mis tähendab, et häkkerid tungisid tõenäoliselt kolmandate osapoolte ettevõttesse, kelle ülesandeks oli telefonide tarkvara haldamine.
Tulemused vastavad sellele, mida teised Google'i turvauuringud on leidnud: Triada taga olevad autorid edastavad selle, häkkides seadmetootjate arvutitesse ja istutades salaja pahavara Androidi tarkvarasse.
Transsion väidab tegelikult, et on nakkusprobleemi lahendanud juba 2018.
aasta märtsis, kui ettevõtte W2 telefon märgiti esialgu Triada pahavara tarnimise eest.
Hiina ettevõte edastas eelmise aasta lõpus ka xHelperi aadressile värskenduse, kuid mõlemal juhul peab kasutaja plaastrid alla laadima ja installima.
Miks plaastrid mõjutatud tarbijateni ei jõudnud, jääb selgusetuks.
Kuid Upstream ütleb, et telefonimüüjad peavad olema valves nende süsteemidesse tungiva pahavara eest.
"On tavaline, et arendajad ja tootjad pole pahavara nakkusest tavaliselt teadlikud," ütles ettevõte.
"Nad peavad olema eriti ettevaatlikud, valides kolmandate osapoolte SDK-sid (tarkvaraarenduskomplektid) ja mooduleid, vältides küsitavate SDK-de pahavarade hiilimist oma toodetesse."
Triada pahavara ei leitud teistelt Transsioni leitud telefonidelt, lisas Upstream.
