روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طبق گفته‌های محققین، گوشی‌های موبایل کم‌هزینه و حمایت‌شده توسط دولت با بدافزارهای از پیش‌نصب‌شده درشان عرضه شده و کاربران را با آگهی‌های تبلیغاتی ناخواسته بمباران کرده‌اند. ظاهراً این گوشیِ اندرویدیِ UMX U686CL -که تحت طرح کمکی کمیسیون فدرال ارتباطاتِ[1] Lifeline در اختیار شهروندان آمریکاییِ کم‌درآمد به قیمت 35 دلار قرار داده شد- از اپی به نام Settings استفاده می‌کرده است؛ اپی که به نقل از محققین در واقع یک تروجانِ دراپر بوده است. طبق گفته‌های ناتان کولیر، محقق شرکت Malwarebytes کار این اپ در حقیقت گرفتن و نصب سایر اپ‌ها یا بدافزارهاست.

متأسفانه، برای آن دسته از افرادی که در Lifeline ثبت‌نام کردند، اپ Settings حذف نمی‌شود. دلیلش هم این است که اپ Settings الزامی است و به کاربر، دسترسی به بخش تنظیمات هسته‌ای گوشی را می‌دهد. در نتیجه، اگر این اپ از حالت نصب خارج شود (uninstall) دستگاه دیگر هیچ کارایی‌ای نخواهد داشت.

کولیر در پستی اینطور نوشت: «کد مذکور به شدت مبهم‌سازی شده است. ما این بدافزار را Android/Trojan.Dropper.Agent.UMX شناسایی کرده‌ایم». او همچنین افزود که جزئیات اجرایی آن تا حد زیادی به جزئیات اجرایی و فنی یک تروجان دراپر موبایل دیگر شباهت دارد که در نوع مدل متغیر ALReceiver و ALAJobService ارائه می‌شود. بر اساس این تحلیل، «تنها تفاوت بین این دو کد، نام مدل‌های متغیرشان است». در اصل بنیادی‌شان، هر دو دراپر یک رشته‌ی کدسازی‌شده در کدشان دارند که وقتی کدگشایی شوند فایل آرشیو پنهان‌شده‌‌ای را به نام com.android.google.bridge.LibImp. نمایان می‌کنند. این آرشیو وقتی کدگشایی می‌شود -با استفاده از کدگشایی Base64- به کمک DexClassLoader در حافظه لود می‌شود. و وقتی آرشیو در حافظه ذخیره شده، دراپر با نصب یک تکه بدافزار دیگر رسالت خود را به پایان می‌رساند- در مورد UMX U686CL این بدافزار یک اپ آگهیِ مخرب موسوم به HiddenAds است.

به گفته‌ی کولیر، مشتریان Malwarebytes خود تأیید کردند که اپی به نام HiddenAds ناگهان روی گوشی‌هایشان ظاهر شده است. بعد از نصب روی دستگاه، آگهی‌هایی به صورت تمام‌صفحه به طور دوره‌ای کاربر را گیر می‌انداختند.

Wireless Update

اپِ از پیش‌نصب‌شده‌ی نگران‌کننده‌ی دیگری نیز وجود دارد که نامش Wireless Update است. این اپ نیز کارکردش به خودی خود، قانونی تلقی می‌شود (دریافت و نصب آپگریدهای بی‌سیمِ سیستم‌عامل برای گوشی) و البته کار خود را به طور خودکار انجام می‌دهد. با این وجود، همچنین به طور خودکار بدون رضایت کاربر سایر اپ‌ها را دریافت و نصب می‌کند.

کولیر: «از لحظه‌ای که به دستگاه موبایل خود لاگین می‌شوید، Wireless Update شروع می‌کند به نصب خودکار اپ‌ها. برای انجام این کار، رضایت هیچ کاربری جلب نشده است و همچنین هیچ دکمه‌ای هم برای تأیید این نصب‌ها وجود ندارد؛ تنها به خودی خود شروع می‌کند به نصب اپ‌ها».

این اپ‌ها تاکنون بدون بدافزار بوده‌اند اما قابلیت‌هایشان به طور آشکارا دری باز کرد تا بدافزار با خود تأثیرات مخربش را وارد آن‌ها کند. چیزی که این نگرانی را دوچندان می‌کند این است که کد Wireless Update درست مثل کد استفاده‌شده توسط بدافزایست ساخت شرکت به نام Adups Technology. کولیر: «Adups یک شرکت چینی است که حین جمع‌آوری اطلاعات کاربری دستگیر شد. این شرکت داشت برای دستگاه‌های موبایل بک‌در می‌ساخت و بله، داشت در حقیقت اینستالرهای خودکار درست می‌کرد».

بر اساس تحقیقات قبلی، اپ Adups در گذشته حین نصب HiddenAds و سایر تروجان‌ها روی دستگاه‌های قربانی مچش گرفته شد. شرکت Adups قبلاً سر اعتراف BLU Products، شرکت تولیدکننده‌ی گوشی‌های اندرویدی مبتنی بر اشتراک‌گذاری کلی اطلاعات (شامل پیام‌های متنی کاربرانش، اطلاعات لوکیشن برج سلولی در لحظه، لاگ‌های پیام متنی، فهرست کانتکت‌ها و اپلیکیشن‌های استفاده‌شده و نصب‌شده روی دستگاه‌ها) با این شرکت زیر نظر قرار گرفته بود. Wireless Update می‌تواند uninstall شود اما کاربران در نهایت مشکلات امنیتی‌شان هیچگاه رفع نمی‌گردد.

چه کسی مسئول است؟

کولیر با بررسی نحوه‌ی ورود این بدافزار به گوشی‌های مذکور فقط به بن‌بست و عدم مسئولیت‌پذیری رسید. چین کشوریست که این گوشی‌ها در آن تولید شدند و کد اپِ این دراپر نیز توسط مسئولین چینی ساخته شده است. طبق تحقیقات: «اکثر انواع قابل‌تشخیصِ این بدافزار دارند کاراکترها را به زبان چینی استفاده می‌کنند». بنابراین، می‌شود فرض را بر این داشت که اصلیت این بدافزار برای چین است. این خود سوالی ایجاد می‌کند: آیا دراپر جایی در راستای زنجیره تأمین (در طول روند تولید در آسیا) بدون آنکه تولیدکننده حتی روحش هم خبر داشته باشد تزریق شده بوده است یا نه.

سال گذشته گوگل افزایش میزان اقدامات مخرب عاملین را برای کاشت اپ‌های (به طور بالقوه) آسیب‌رسان روی دستگاه‌های اندرویدی گزارش داد. گوگل در تحلیل سالانه‌ی حریم‌شخصی و امنیت اندروید خود در سال 2018 چنین گفت: «عاملین مخرب، تلاش‌های خود را برای جاساز کردن PHAها در زنجیره تأمین –با استفاده از دو نقطه ورود اصلی- مضاعف کردند: دستگاه‌های جدیدی که با PHAهای از پیش‌نصب‌شده فروخته شده بودند و آپدیت‌های OTA (بی‌سیم) که در خود به صورت قانونی آپدیت‌های سیستم به همراه PHAها را داشته‌اند».

«توسعه‌دهندگان PHA‌های از پیش‌نصب‌شده تنها باید تولیدکننده‌ی دستگاه و یا شرکتی دیگر در زنجیره تأمین را به جای تعداد زیادی کاربر فریب می‌دادند؛ بنابراین خیلی راحت‌تر توانستند به توزیع در مقیاس بزرگ دست یابند». کولیر از شرکت Malwarebytes گفت نتوانسته اینکه شرکت خود آگاه از چنین بدافزارِ از پیش‌نصب‌شده‌ای بوده است یا نه تأیید کند. در مورد Wireless Update احتمال می‌دهیم شرکت انتخاب کرده بوده برای این قابلیت کار را با کد Adups جلو ببرد اما دوباره بگوییم- این هنوز تأیید رسمی نشده است. در عین حال، گوشی مارک Virgin دارد و توسط Assurance Wireless توزیع شده است. Assurance Wireless خود ارائه‌دهنده‌ی خدمات تلفن همراه فدرال Lifeline است که کارش عرضه‌ی گوشی و داده‌ها به مشتریان واجد شرایط است. این گوشی تحت طرح مذکور که حامی‌اش دولت 35 دلار قیمت دارد.

کولیر می‌گوید: «ما به Assurance Wireless در مورد یافته‌های خود اطلاع دادیم و از آن‌ها پرسیدیم چرا یک کریر موبایل که دولت آمریکا آن را حمایت مالی می‌کند دارد دستگاه موبایلی می‌فروشد که در خودش به طور از پیش‌نصب‌شده‌ای بدافزار دارد؟ با اینکه زمان خوبی برای جواب دادن بهشان دادیم اما هرگز پاسخمان را دریافت نکردیم».

سناریویی قدیمی

بدافزارهای از پیش‌نصب‌شده و اپ‌های ناخواسته پدیده‌ی تازه‌ای نیستند، این سناریوها دیگر قدیمی شدند. بعنوان مثال، در طی بررسی خرابی‌های بدافزار روی گوشی‌های مارک BLU، پی بردیم بسیاری از گوشی‌ها همراه با بدافزارهای از پیش‌نصب‌شده بودند و همچنین از طریق یک ابزار آپدیت طرف‌سوم بدافزارهای بیشتری را نیز دانلود کرده‌اند. اگر این کار تعمدی بود باشد عواقبش گریبان تولیدکننده‌ها را خواهد گرفت. برای مثال، لنوو این غول چینیِ تولیدکننده‌ی پی‌سی سر پیش‌لود کردن کد Superfish در سال 2014 حسابی به دردسر افتاد.

[1] Federal Communications Commission