Несколько лет назад, когда я ещё работал в антивирусной компании, я купил недорогой смартфон на Android для пожилой родственницы. Телефон позиционировался, как отечественный продукт, но по факту был, разумеется, китайским аппаратом, выпущенным под российским брендом. Удаляя идущие с завода ненужные приложения и добавляя отсутствующие, я решил заодно установить и антивирус — мало ли, на какую ссылку нажмёт малограмотная в айтишных делах пользовательница? Каково же было моё удивление, когда на совершенно новом аппарате с ходу обнаружился троян, способный загружать и устанавливать без ведома юзера любые приложения. Попытка вылечить телефон не увенчалась успехом, не помог и сброс до заводских настроек — троян сидел в прошивке, к которой антивирусное ПО не имеет доступа, если аппарат, конечно, не рутован. Изучение вопроса показало, что китайские смартфоны с «сюрпризами» присутствуют на отечественном рынке в широчайшем ассортименте. Более того, в Китае существует целая индустрия по производству, распространению и эксплуатации мобильных вредоносных программ, прошитых в firmware, и за минувшие годы в этой сфере почти ничего не изменилось. А причём тут охота на бройлеров, спросите вы? Сейчас расскажу.

▍ Вирусный инкубатор

По необъяснимым причинам на вашем китайском смартфоне под управлением Android сами собой появляются приложения и игры, которые вы не устанавливали, а на экране, как из рога изобилия, возникают странные push-уведомления. Удаление подозрительных программ, сброс телефона до заводских настроек и замена сим-карты не помогают: назойливые приложения возвращаются снова и снова. Иногда смартфон начинает вести себя подозрительно сразу же после окончания настройки операционной системы, иногда странности проявляются спустя какое-то время. В любом случае, причиной подобных «спецэффектов» чаще всего становятся вредоносные программы, интегрированные непосредственно в прошивку мобильного телефона. Такой вектор распространения вредоносов среди специалистов по ИБ носит название supply–chain–attack, «атака в процессе производства».

Возникает справедливый вопрос: а как трояны попадают в firmware? Неужели китайские разработчики мобильных телефонов злонамеренно внедряют их туда прямо на заводе-изготовителе? Нет, это, конечно, не так: китайский рынок «мобильного железа» устроен довольно хитрым образом.



Большинство фабрик по производству смартфонов расположено в китайской «Кремниевой долине» — городе Шэньчжэнь (深圳) в провинции Гуандун, который по праву считается центром электроники и IT-технологий. Компаний-производителей телефонов тут и вправду очень много, как маленьких, так и больших, мнящих себя чуть ли не корпорациями. Только вот большинство из них использует в качестве основы своих смартфонов готовые платформы, выпускаемые крупными предприятиями на Тайване или в том же Шэньчжэне, такими как, например, MediaTek.

По большому счёту, подобная платформа — плата со смонтированным процессором, электронной обвеской, памятью и разъёмами под пару симок — это уже почти готовый смартфон. Чтобы он окончательно стал таковым, к нему нужно добавить дисплей, динамики, аккумулятор и поместить всё это в корпус, чем и занимаются мелкие производители. Несколько разных корпусов — и вот у тебя уже несколько разных телефонов, хотя начинка в них совершенно одинаковая. Некоторые фабрики изготавливают точные копии более дорогих трубок, выпускаемых «крутыми» брендами на базе той же самой платформы, и продают их под своим собственным лейблом, разве что ставят дисплей попроще, камеру похуже и батарею подешевле. Такие телефоны в Китае называют 水貨 (шуйхуо), «сырьё». Подобные смартфоны лишены самого главного — прошивки — и отправляются они с завода не непосредственным потребителям, а «перекупам», которые уже выставляют их на маркетплейсы или договариваются об оптовых поставках в розничные магазины, либо в другие страны.



Эти самые «перекупы» — по большому счёту, торговые компании, весьма далёкие от железа и софта. Они могут залить в «тушку» абсолютно любую прошивку по желанию клиента: с любым набором предустановленного ПО, с нескучными обоями разными лаунчерами, с поддержкой любого языка, с привязкой к определённому оператору или без таковой. Если очень нужно, они могут выпустить партию смартфонов под вашим собственным брендом, а поскольку сотрудничают они сразу с несколькими фабриками, выбор вариантов велик. Понятно, что сами эти посредники прошивки не разрабатывают и телефоны не прошивают. Этим занимаются третьи компании, которые на местном рынке называются 刷 機 (шуадзи) — именно эти фирмы и предоставляют полный спектр услуг по установке firmware на «сырые» трубки.



Наверное, никого не удивит тот факт, что конкуренция в этой нише крайне высока. Контор-шуадзи существует великое множество, многие из них отчаянно сражаются за каждого клиента и вынуждены демпинговать, чтобы получать хоть какие-то заказы. Порой услуги по прошивке партии шуйхуо предлагаются по ценам ниже себестоимости. И чтобы хоть как-то на этом зарабатывать, шуадзи придумали схему монетизации на рекламных контрактах: в прошивку телефона внедряется троян-загрузчик или бэкдор, позволяющий собирать информацию с устройства и устанавливать на него любые приложения по команде с управляющего сервера. За каждую такую установку шуадзи получают вознаграждение от разработчиков софта. Такой порядок вещей устраивает абсолютно всех: фабрики отгружают вагонами «пустые» трубки, посредники прошивают их практически задаром, шуадзи зарабатывают на установках «левого» софта, производители этого софта наживаются благодаря открутке на смартфоне рекламы, а проблемы индейцев конечных пользователей никого не волнуют.

Разумеется, троян-загрузчик может закачать на телефон и другие вредоносные приложения, после чего аппарат быстро превратится в зоопарк покруче того, что был у Джеральда Даррелла. А поскольку вредонос сидит в системном разделе Android, куда клиентский софт не имеет доступа, выколупать его оттуда не сумеет ни один антивирус. Профит!

▍ Зачем, Карл?

Следующий вопрос, который начинает волновать пытливые умы счастливых обладателей протрояненных китайских мобильников — а что умеют подобные вредоносные программы? О, тут есть, о чём рассказать!

Про основную функцию таких вредоносов я уже упоминал: это загрузка и установка на телефон стороннего софта. Такой тип монетизации продвигают специальные партнёрские программы, выплачивающие вознаграждение разработчикам «завирусованной» прошивки за каждую установку «левого» приложения. Работает это так: после активации и подключения к интернету телефон «отстукивается» на управляющий сервер, сообщает базовую информацию об устройстве — IMEI, индекс модели, версию прошивки, иногда — мобильный номер, после чего ожидает входящих команд. По команде он может скачать с сервера и установить, либо удалить любое ранее установленное приложение, или, например, вывести push-уведомление с рекламой, за что шуадзи тоже получит денежку. Поскольку трой является частью firmware и работает с системными привилегиями, ему доступен большой арсенал действий и предоставлены широкие возможности, ведь обычные ограничения ОС на него не распространяются. Перехватить, переслать на другой номер или стереть СМС? Запросто! Сделать скриншот, втихаря включить микрофон или камеру? Нет проблем!

Да, большинство распространяемых в прошивках мобильных телефонов троянов способны красть и передавать на управляющий сервер данные с заражённого устройства. Это входящие СМС, адресная книга, сведения о геопозиции, список установленного софта, история браузера, содержимое «избранного». Обычно весь этот массив данных скопом продаётся каким-нибудь рекламным агентствам или компаниям, собирающим статистику о пользователях мобильной связи. Но в то же время перехват СМС чреват потерей доступа к учёткам в социальных сетях и сервисах, использующих двухфакторную аутентификацию, в том числе, банковских. А вот это уже очень серьёзная угроза.



Ещё одно применение подобных мобильных троянов — накрутка посещаемости сайтов и скликивание рекламы в невидимом окне WebView, за что вирусописатели, опять же, получают вознаграждение. Но это не настолько выгодное мероприятие, как организация DDoS-атак. По команде с управляющего сервера трой получает целевой URL — например, адрес какой-то картинки на сайте, — и начинает запрашивать ее с определённой периодичностью. Так, в 2015 году с использованием такого мобильного ботнета была осуществлена DDoS-атака на пекинскую компанию Qingsong Wisdom — трояны, запущенные из прошивки мобильных телефонов на Android, через определённые интервалы времени обращались по протоколу HTTP к фоновой картинке на сайте компании. В пик атаки было зафиксировано не менее 2 миллионов запросов в минуту и более 12 миллионов в час, из-за чего сайт упал и не поднимался в течение длительного времени, пока системные администраторы разбирались в причинах происходящего.

Масштаб инцидента позволяет примерно оценить количество задействованных в ней инфицированных устройств. Такие DDoS-атаки предлагаются на китайских хакерских форумах в качестве услуг, и подобные услуги пользуются неизменным спросом. Известен случай, когда заражённые трубки использовались злоумышленниками в качестве анонимных прокси или без ведома владельца подключались к платным сервисам для приёма «одноразовых» SMS или TAN-кодов. Эта услуга активно используется для регистрации на различных сомнительных или откровенно криминальных веб-сайтах, где требуется указывать телефонный номер, в том числе, и в даркнете.

Де-факто способность обеспечивать двустороннюю связь с управляющим сервером по принципу туда — ворованную информацию с телефона, обратно — команды для исполнения ботом —превращает оснащённые заражёнными прошивками телефоны в полноценный ботнет. Более того, современные модификации троянов в прошивке, которые сами китайцы называют «тихий плагин» (静默插件) имеют модульную архитектуру и работают довольно хитро. Модули, каждый из которых реализует собственную функцию (кража данных, DDoS-атаки, скликивание или показ рекламы, проплаченные редиректы на разные сайты) добавляются в продукт по желанию заказчика. При этом трой не начинает работать сразу — он дожидается, когда пользователь активирует телефон и начнёт делать фотографии с использованием встроенной камеры. Если какие-то модули не были установлены в прошивке «с завода», троян скачивает и активирует их, при этом вызовы API реализуются таким хитрым образом, чтобы антивирус на устройстве (если он есть) не забил тревогу. Модули могут скачиваться с разных сайтов или разных поддоменов одного домена, чтобы вызывать меньше подозрений.

Некоторые трои могут получать задания как непосредственно через интернет (иногда они используют для этого протокол XMPP), так и в случае отсутствия подключения — через SMS с определённых телефонных номеров.

Так, один из «прошивочных» бэкдоров, который попадался мне на глаза пару лет назад, помимо стандартного функционала (включение установки приложений из непроверенных источников, установка и удаление apk, отправка SMS, сбор и пересылка на управляющий север информации о девайсе) мог переводить телефон в беззвучный режим, по команде включать и отключать Wi-Fi, выполнять звонки на указанные в команде телефонные номера с последующей очисткой журнала вызовов, и самое неприятное — при получении соответствующей директивы сбросить телефон к заводским настройкам (сам троян при этом, разумеется, выживет). Ещё он мог показывать жертве системные сообщения с текстом, заданным злоумышленниками — видимо, эта функция использовалась в целях социнженерии. Модули, которые скачивал вредонос, могли самообновляться.

Иными словами, возможностей у «тихих плагинов» достаточно, чтобы испортить жизнь любому пользователю.

▍ Охота на бройлеров

Так причём тут все-таки бройлеры? Этим словом (肉鸡) китайцы называют заражённые трубки, к которым можно запросто купить доступ на подпольных форумах. Продаётся этот самый доступ мелким оптом, данные одного заражённого телефона в среднем стоят 1 юань. При этом покупатель может скачать приложение под Windows, в которое импортируется база купленных «бройлеров», либо такое приложение может просканировать подключённые к Интернету заражённые телефоны и показать их список, включающий номер трубки, IP-адрес, версию прошивки и версию трояна в ней. Далее «телефонный хакер» может отдавать инфицированным телефонам произвольные команды: получить список SMS, скачать фотографии или адресную книгу, узнать местоположение трубки по GPS-координатам, загрузить туда какой-нибудь .apk, показать пуш-уведомление, устроить DDoS-атаку и т. д.

Примечательно, что стать «телефонным хакером» (黑客) может фактически кто угодно: для этого не обязательно долго учиться или обладать специальными знаниями, вполне достаточно купить соответствующее приложение, заточенное под конкретный бекдор, и при необходимости — базу заражённых трубок. При этом доступ к одному и тому же инфицированному устройству может продаваться сразу нескольким «клиентам», которые будут управлять им по очереди.



Если же потенциальный «хакер» не умеет даже этого, завсегдатаи китайских подпольных форумов с удовольствием обучат его использованию соответствующих программ и покажут, в какие кнопки нужно тыкать — разумеется, за деньги. Таких неофитов принято называть «сяобай» (小白), что означает «ламер, нуб». Обучение сяобаев — ещё одна весьма распространённая сфера бизнеса в китайском киберподполье, которая, по слухам, приносит ничуть не меньшую прибыль, чем ловля «бройлеров» и торговля ими. Существуют и приложения по управлению «бройлерами» не только для винды, но и под Android, при этом значительная их часть также скрывает в себе неприятные «сюрпризы». Сяобай скачивает такое приложение на телефон, чтобы превратиться в «крутого хакера» (предварительно рутанув девайс под мудрым руководством анонимного наставника с форума), и, не подозревая об этом, сам становится «бройлером». Круг замыкается.

Фактически, связанный с мобильными вредоносными программами китайский подпольный рынок можно условно разделить на несколько уровней. На вершине «пирамиды» — разработчики «тихих плагинов» и модулей к ним. Рядом с ними можно расположить многочисленные конторы- шуадзи, внедряющие такой софт в прошивки телефонов. Чуть ниже — партнёрские программы, предлагающие вознаграждение за показ и открутку рекламы, либо установку на заражённые телефоны игр и прочего софта. К этому же уровню можно отнести посредников, оказывающих услуги по организации с использованием мобильных ботнетов DDoS-атак. Наконец, в самом низу иерархии — населяющие подпольные форумы мелкие жулики, продающие доступ к заражённым трубкам-«бройлерам» и обучающие сяобаев таинствам управления мобильными ботнетами с помощью специально разработанных для той цели приложений. И вся эта братия чувствует себя вполне вольготно — деньги в данном бизнесе крутятся, прямо скажем, немалые.

▍ Неутешительные выводы

В Уголовном кодексе КНР имеется статья 285 — «преступления, связанные с незаконным проникновением в компьютерные информационные системы, преступления, связанные с незаконным получением данных компьютерных информационных систем, незаконным управлением компьютерными информационными системами и обеспечение вторжения и незаконного управления компьютерной информацией». Согласно этой статье, злоумышленник может получить до 7 лет лишения свободы (если его действия нанесли значительный ущерб), но гораздо чаще пойманным киберпреступникам назначают наказание сроком от 1 до 3 лет отсидки, плюс весьма чувствительный штраф.

Именно поэтому многие китайские хакеры в последнее время побаиваются работать на своей исторической родине, предпочитая ловить «бройлеров» в других странах — тем более, благодаря «Таобао» и «АлиЭкспрессу» дешёвые китайские трубки активно продаются по всему миру. Сейчас, в условиях санкций, когда с российского рынка уходит всё больше западных компаний тенденция «переориентации на Китай» выглядит всё более отчётливо, а меняющиеся экономические условия многих вынуждают экономить и выбирать товары подешевле. Выводы из этого каждый может сделать для себя сам.

Весьма неоднозначен также вопрос, что делать, если вам вдруг попался такой «испорченный» телефон? Правильный ответ, по всей видимости, не покупать дешёвую китайскую дрянь — ничего. Поскольку трой сидит в прошивке, удалить его оттуда можно только методом рутования девайса, и не факт, что после этого смартфон будет нормально работать — неизвестно, какие ещё файлы из состава firmware при этом случайно зацепит. Ещё можно попробовать залить на устройство кастомную прошивку, если для этой модели найдутся подходящие версии. Ну, или пользоваться телефоном «как есть», учитывая, что в любой момент с ним может захотеть побаловаться какой-нибудь китайский сяобай.