Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы

Статья не моя, немного сокращена, оригинал статьи https://habr.com/ru/post/575626/


TL;DR: немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.


Исследование мобильных телефонов началось с простой идеи: можно ли использовать эти дешевые и доступные в любом магазине трубки для приёма СМС-сообщений на компьютер? Телефоны гораздо дешевле распространённых USB GSM-модемов, к тому же большинство моделей поддерживают 2 SIM-карты, а некоторые и до четырёх.

В силу почти полного отсутствия информации о наличии и возможностях AT-порта в современных телефонах, я решил купить несколько максимально разных устройств для проверки их функциональности.


Что я купил и что получил:

Были куплены почти случайные телефоны, ориентируясь по визуальной составляющей интерфейса на фотографиях и в видеообзорах и немногочисленной информации о SoC в интернете:

Inoi 101 (RDA8826/SC6533, 600₽)

DEXP SD2810 (SC6531E, 699₽)

Itel it2160 (MT6261, 799₽)

Irbis SF63 (SC6531DA, 750₽)

F+ Flip 3 (SC6531DA, 1499₽)

Довольно быстро я осознал, что с телефонами что-то не так…

Для снятия прошивки я воспользовался взломанной версией Miracle Box. Также юыла использована базовая станция 2G — удобный и лёгкий в настройке метод массового практического анализа вредоносной активности без предварительной подготовки каждого устройства.

Метод даёт доступ ко всему сетевому трафику GSM/GPRS, с возможностью его просмотра и модификации на лету.

Моя конфигурация:

• bladeRF x115 ($650)

• Raspberry Pi 400 ($100)

• Открытое и бесплатное ПО базовой станции YateBTS

• Wireshark для анализа GSM и интернет-трафика

BladeRF питается от USB и не требует никакой дополнительной обвязки. Достаточно обычной дипольной антенны для начала работы.

Первое и самое «чистое» купленное устройство — Inoi 101.

Этот телефон не содержит вредоносных функций. Присутствуют типичные нежелательные вещи вроде меню СМС-подписок и платные игры, но устройство не выполняет какие-либо действия самовольно или скрытно.

Модель Itel it2160 сообщает «о продаже» через интернет, без предупреждения.

Flip 3 российского OEM-поставщика F+ cообщает «о факте продажи» через СМС на номер +79584971255, отсылая IMEI и IMSI в теле сообщения.

Я попытался получить подробности об этой функциональности у производителя. С компанией F+ состоялся следующий диалог:

Кнопочный телефон F+ Flip 3 в автоматическом режиме и незаметно для пользователя отправляет СМС-сообщения на номер +79584971255 при установке в него российских SIM-карт, причём отправленное СМС-сообщение не сохраняется в памяти телефона. Сообщения содержат IMEI-номер устройства, IMSI-номер SIM-карты, и три фиксированных значения.

Полный формат сообщения следующий: #IMSI#IMEI#250124#64#1# Где IMSI — IMSI-номер SIM-карты, IMEI — IMEI-номер телефона.
С какой целью данная функциональность внедрена в устройства F+?
>>> Нет информации.
Почему о ней не заявляется на официальном сайте, коробке или инструкции устройства?
>>> Потому что этот функционал внедрён не нашими инженерами.
Как обрабатываются полученные данные?
>>> Нет информации.
Какому юридическому или физическому лицу принадлежит номер +79584971255?
>>> Нет информации.
03.06.2021: Мы занимаемся решением данной проблемы. На новых ревизиях с новой прошивкой такой проблемы нет. Однако новая прошивка несовместима со старой ревизией телефонов. Как только в сервисе появится новая прошивка для старых ревизий я Вам сообщу.
15.06.2021: В сервисный центр поступила прошивка SW06 в которой решена эта проблема, обратитесь в ближайший сервисный центр из списка по ссылке https://fplusmobile.ru/support/ для перепрошивки Вашего телефона.

На просьбу выложить обновлённую версию прошивки в открытый доступ получил отказ и игнорирование дальнейших вопросов.


DEXP SD2810 от российского бренда сети магазинов DNS.

Опасный телефон, расходующий деньги мобильного счёта.

• Не содержит браузера, но подключается к GPRS

• Сообщает «о продаже» через интернет, без предупреждения

• Передаёт IMEI, IMSI

• Обращается к CnC в интернете и выполняет его команды

• Отправляет платные СМС на короткие номера с текстом, полученным с сервера

DEXP не ответил на запрос о вредоносной функциональности.

Модель SF63 от российского OEM-поставщика Irbis.

Опасный телефон, использующий номер вашего телефона в коммерческих целях, для регистрации сторонних лиц в интернет-сервисах.

• Не содержит браузера, но подключается к GPRS

• Сообщает «о продаже» через интернет, без предупреждения

• Передаёт зашифрованные данные на сервер

• Обращается к CnC в интернете и выполняет его команды

Результаты

4 из 5 телефонов содержат незадекларированную функциональность, из них:

• 2 модели расходуют деньги со счёта (отправляют данные после покупки через СМС/интернет);

• 1 модель выходит в интернет и отправляет платные СМС-сообщения на короткие номера;

• 1 модель пересылает входящие сообщения через интернет.

Кто виноват?

Прежде всего виноват бренд, под которым продаются телефоны. Бренд заказывает разработку самого устройства и прошивки для него у OEM-производителя, но не проверяет конечное устройство на наличие незадекларированных возможностей. По какой-то причине, многие бренды не выкладывают прошивку на сайт, а отправляют обновлять устройство в сервисный центр в случае проблем.

Бренды F+ и BQ отрицают проблему или умалчивают о ней.

OEM-производитель готов внедрить любой каприз бренда или производителя сторонних модулей, за ваши же деньги.

Отсутствие в России специализированного министерства, которое бы занималось подобными проблемами. Минцифры (бывший Минсвязи) проверяют только сертификацию продукции на соответствие мировым и российским стандартам связи, но не функциональность конечного устройства.

Минцифры порекомендовало обращаться в Роспотребнадзор, перенеся проблему в плоскость продавец-покупатель.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации [...] рассмотрело Ваше обращение о производителе оборудования ООО «Ф-Плюс Мобайл» и сообщает следующее.
Согласно Положению, Минцифры России осуществляет функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере связи [...]
Информируем, что средства связи, указанные в Вашем первоначальном обращении, прошли процедуру обязательного подтверждения соответствия Правилам применения оборудования радиодоступа. [...]
Следует отметить, что в соответствии с Правилами при декларировании телефонных аппаратов для сетей подвижной радиотелефонной связи проверка наличия или отсутствия отправки коротких сообщений в автоматическом режиме не предусмотрена.
Федеральный государственный надзор в области защиты прав потребителей осуществляется уполномоченным федеральным органом исполнительной власти – Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор).

Что делать?

Мобильных телефонов огромное количество, проверить их все невозможно.

Покупайте только проверенные мировые бренды: телефоны Nokia не содержат вредоносной функциональности, но и стоят в 2-4 раза дороже «отечественных» аналогов;

Читайте отзывы перед покупкой: лучше купить проверенную модель, давно присутствующую на рынке, с безупречной репутацией, чем рисковать с новинками;

Отслеживайте поведение нового телефона после покупки в течение суток, по детализации оператора;

Пишите в Роспотребнадзор, ФСБ (?) и производителю, если обнаружили непонятную активность.


https://habr.com/ru/post/575626/


upd:

https://habr.com/ru/post/575626/comments/#comment_23437702
Считать-то можно, только толку-то: Nokia 8110 4G тоже что-то слал, раз в несколько дней. Слал даже при отключённом интернет-соединении и не сконфигурированных профилях, по 15 рублей за попытку…

Где-то на яндекс.маркете мой отзыв с одной звездой лежит в том числе и по этому поводу (можете поискать, там у меня аватар такой же как и тут, ссылку же на коммент яндекс скопировать не даёт)

Fastler - информационно-развлекательное сообщество которое объединяет людей с различными интересами. Пользователи выкладывают свои посты и лучшие из них попадают в горячее.

Контакты

© Fastler v 2.0.2, 2024


Мы в социальных сетях: