Dobra, stwierdziłem że napiszę w jednym miejscu to, co próbowałem streścić w komentarzach w różnych fragmentach internetu. Ten tekst, jak i artykuł @niebezpiecznik który nie uwzględnił nawet listy urządzeń z artykułu źródłowego sprawiają wrażenie, jakby czegoś w nich brakowało. Opiszę to, posiłkując się nie specjalizacją, a własnymi doświadczeniami, chłopskim rozumem i riserczem z ostatnich dni oraz sprzed kilku lat, ale spróbuję to uargumentować. Bo temat wydaje mi się ważny.

Tekst CERT Orange zdaje się pomijać najważniejsze — źródło infekcji. Moim zdaniem najbardziej prawdopodobnym kanałem dystrybucji tego malware był dropper, który był fabrycznie zainstalowany w urządzeniach ofiar. Znaczna część z wymienionych tam marek ma już doświadczenie ze sprzedażą telefonów zawierających takie „niespodzianki”. Tym rażąco niepasującym do listy elementem jest Xiaomi, ale o tym będzie niżej.

Do urządzeń podatnych na rootkit używający tej podatności na Mediatekach należą również produkty m.in. LG, Sony, Nokii, Huawei, które z jakichś powodów nie znalazły się na liście. Dlaczego nieaktualizowane od kilku lat urządzenia tych firm miałyby być magicznie omijane przez to oprogramowanie? Czy użytkownik starego Kiano lub myPhone tak drastycznie różni się od użytkownika starej, budżetowej Motoroli lub Sony z tym samym Mediatekiem, że tylko ci pierwsi instalują na potęgę szkodliwe oprogramowanie?

Łatwo[1] znaleźć[2] informacje[3] dotyczące[4] obecności[5] szkodliwego[6] oprogramowania[7] w[8][9] urządzeniach[10] tych[11] firm. Z reguły taki dropper instaluje raczej oprogramowanie robiące po cichu fraudy na sieciach reklamowych lub wprost wyświetlające je użytkownikowi. Przynajmniej takie odnalazłem informacje, ale łatwo się domyśleć innych potencjalnych zastosowań. Są to zastosowania, do których instalacji nie są potrzebne uprawnienia systemowe. To wyjaśnia, skąd w historii znalazł się exploit na Mediateki, który zapewne był potrzebny do wykonywania połączeń bez wiedzy użytkownika (w przeciwieństwie do działania w tle, wyświetlania powiadomień, tworzenia skrótów na pulpicie…). Choć na liście są też urządzenia z procesorem Spreadtruma, więc nad rolą tego exploita też można się trochę zastanowić.

Skąd na liście Xiaomi (i chyba Hisense też nie pasuje do reszty)? Najprotsze są dwie odpowiedzi. Pierwsza, moim zdaniem najbardziej prawdopodobna to telefon z nieoficjalnej dystrbucji. Znane są przypadki dodawania malware do oprogramowania Xiaomi (tutaj wątek na polskim forum, YouTube w wersji 5.7.41 z podpisem innym niż googlowy to dość popularny dropper obecny też w „polskich” smartfonach/tabletach). Druga, moim zdaniem mniej prawdopodobna, ale chyba prostsza — podróbki. Tak, klony Xiaomi istniały od lat.

Tekst więc zignorował to, że z ogromnym prawdopodobieństwem źródłem infekcji mogą być sami producenci/dystrybutorzy urządzeń, a nie to, że „coś się kliknęło”, czy seria exploitów pozwalająca na infekcję przypadkowego użytkownika bez jakiejkolwiek interakcji. Chciałbym wiedzieć, czy CERT Orange chociaż przebadał systemy tych urządzeń. Jeżeli potwierdzi się ta teza, rada z artykułu w postaci „czeka Cię reset urządzenia do ustawień fabrycznych” jest zupełnie bezużyteczna. Lista aplikacji (nie dropperów, a tych pobieranych przez nie) również wydaje się bezużyteczna, bo ich nazwy mogą być unikatowe dla każdego użytkownika, lub szybko rotować.

Oczywiście nie oznacza to, że polecam korzystać z starych, nieaktualizowanych telefonów tych bardziej renomowanych producentów. Jeżeli producent nie oferuje przynajmniej tylu lat aktualizacji bezpieczeństwa, przez ile korzystacie z telefonu, zmieńcie producenta.

Btw, śmieszy że dla niektórych użytkowników Apple to okazja by się dowartościować tym, że ich telefony są bezpieczniejsze od tak uznanych marek jak myPhone, Kiano czy Leagoo 😉

RT: https://infosec.exchange/users/avolha/statuses/111326183592418217