فناوران - متأسفانه، برای آن دسته از افرادی که در Lifeline (طرح کمکی) ثبت نام کردند، اپ Settings حذف نمی شود. دلیلش هم این است که اپ Settings الزامی است و به کاربر، دسترسی به بخش تنظیمات هسته ای گوشی را می دهد. در نتیجه، اگر این اپ از حالت نصب خارج شود (uninstall) دستگاه دیگر هیچ کارایی ای نخواهد داشت.
کولیر یک محقق حوزه امنیت، در پستی اینطور نوشت: «کد مذکور به شدت مبهم سازی شده است. ما این بدافزار را Android/Trojan.Dropper.Agent.UMX شناسایی کرده ایم».
او همچنین افزود که جزییات اجرایی آن تا حد زیادی به جزییات اجرایی و فنی یک تروجان دراپر موبایل دیگر شباهت دارد که در نوع مدل متغیر ALReceiver و ALAJobService ارایه می شود. بر اساس این تحلیل، «تنها تفاوت بین این دو کد، نام مدل های متغیرشان است». در اصل بنیادی شان، هر دو دراپر یک رشته ی کدسازی شده در کدشان دارند که وقتی کدگشایی شوند فایل آرشیو پنهان شده ای را به نام com.android.google.bridge.LibImp. نمایان می کنند. این آرشیو وقتی کدگشایی می شود -با استفاده از کدگشایی Base64- به کمک DexClassLoader در حافظه لود می شود. و وقتی آرشیو در حافظه ذخیره شده، دراپر با نصب یک تکه بدافزار دیگر رسالت خود را به پایان می رساند- در مورد UMX U686CL این بدافزار یک اپ آگهیِ مخرب موسوم به HiddenAds است.
به گفته کولیر، مشتریان Malwarebytes خود تأیید کردند که اپی به نام HiddenAds ناگهان روی گوشی هایشان ظاهر شده است. بعد از نصب روی دستگاه، آگهی هایی به صورت تمام صفحه به طور دوره ای کاربر را گیر می انداختند.
Wireless Update
اپِ از پیش نصب شده نگران کننده ی دیگری نیز وجود دارد که نامش Wireless Update است. این اپ نیز کارکردش به خودی خود، قانونی تلقی می شود (دریافت و نصب آپگریدهای بی سیمِ سیستم عامل برای گوشی) و البته کار خود را به طور خودکار انجام می دهد. با این وجود، همچنین به طور خودکار بدون رضایت کاربر سایر اپ ها را دریافت و نصب می کند.
به گفته کولیر: «از لحظه ای که به دستگاه موبایل خود لاگین می شوید،Wireless Update شروع می کند به نصب خودکار اپ ها. برای انجام این کار، رضایت هیچ کاربری جلب نشده است و همچنین هیچ دکمه ای هم برای تأیید این نصب ها وجود ندارد؛ تنها به خودی خود شروع می کند به نصب اپ ها.»
این اپ ها تاکنون بدون بدافزار بوده اند اما قابلیت هایشان به طور آشکارا دری باز کرد تا بدافزار با خود تأثیرات مخربش را وارد آن ها کند. چیزی که این نگرانی را دوچندان می کند این است که کد Wireless Update درست مثل کد استفاده شده توسط بدافزاریست ساخت شرکت به نام Adups Technology.
کولیر همچنین گفته: «Adups یک شرکت چینی است که حین جمع آوری اطلاعات کاربری دستگیر شد. این شرکت داشت برای دستگاه های موبایل در پشتی (Backdoor) می ساخت و بله، داشت در حقیقت اینستالرهای خودکار درست می کرد».
بر اساس تحقیقات قبلی، اپ Adups در گذشته حین نصب HiddenAds و سایر تروجان ها روی دستگاه های قربانی مچش گرفته شد. شرکت Adups قبلاً سر اعترا ف BLU Products، شرکت تولیدکننده گوشی های اندرویدی مبتنی بر اشتراک گذاری کلی اطلاعات (شامل پیام های متنی کاربرانش، اطلاعات لوکیشن برج سلولی در لحظه، لاگ های پیام متنی، فهرست کانتکت ها و اپلیکیشن های استفاده شده و نصب شده روی دستگاه ها) با این شرکت زیر نظر قرار گرفته بود. براساس این گزارش Wireless Update می تواند uninstall شود اما کاربران در نهایت مشکلات امنیتی شان هیچگاه رفع نمی شود.
چه کسی مسوول است؟
کولیر با بررسی نحوه ورود این بدافزار به گوشی های مذکور فقط به بن بست و عدم مسوولیت پذیری رسید. چین کشوریست که این گوشی ها در آن تولید شدند و کد اپِ این دراپر نیز توسط مسوولان چینی ساخته شده است. طبق تحقیقات: «اکثر انواع قابل تشخیصِ این بدافزار دارند کاراکترها را به زبان چینی استفاده می کنند». بنابراین، می شود فرض را بر این داشت که اصلیت این بدافزار برای چین است. این خود سوالی ایجاد می کند: آیا دراپر جایی در راستای زنجیره تأمین (در طول روند تولید در آسیا) بدون آنکه تولیدکننده حتی روحش هم خبر داشته باشد تزریق شده بوده است یا نه؟
بر اساس این گزارش سال گذشته گوگل افزایش میزان اقدامات مخرب عاملین را برای کاشت اپ های (به طور بالقوه) آسیب رسان روی دستگاه های اندرویدی گزارش داد. گوگل در تحلیل سالانه حریم شخصی و امنیت اندروید خود در سال 2018 چنین گفت: «عاملین مخرب، تلاش های خود را برای جاساز کردن PHAها در زنجیره تأمین –با استفاده از دو نقطه ورود اصلی- مضاعف کردند: دستگاه های جدیدی که با PHAهای از پیش نصب شده فروخته شده بودند و آپدیت های OTA (بی سیم) که در خود به صورت قانونی آپدیت های سیستم به همراه PHAها را داشته اند».
«توسعه دهندگان PHAهای از پیش نصب شده تنها باید تولیدکننده دستگاه و یا شرکتی دیگر در زنجیره تأمین را به جای تعداد زیادی کاربر فریب می دادند؛ بنابراین خیلی راحت تر توانستند به توزیع در مقیاس بزرگ دست یابند». کولیر از شرکت Malwarebytes می گوید، نتوانسته اینکه شرکت خود آگاه از چنین بدافزارِ از پیش نصب شده ای بوده است یا نه تأیید کند. در مورد Wireless Update احتمال می دهیم شرکت انتخاب کرده بوده برای این قابلیت کار را با کد Adups جلو ببرد اما دوباره بگوییم- این هنوز تأیید رسمی نشده است. در عین حال، گوشی مارک Virgin دارد و توسط Assurance Wireless توزیع شده است. Assurance Wireless خود ارایه دهنده خدمات تلفن همراه فدرال Lifeline است که کارش عرضه گوشی و داده ها به مشتریان واجد شرایط است. این گوشی تحت طرح مذکور که حامی اش دولت 35 دلار قیمت دارد.
کولیر می گوید: «ما به Assurance Wireless در مورد یافته های خود اطلاع دادیم و از آن ها پرسیدیم چرا یک کریر موبایل که دولت آمریکا آن را حمایت مالی می کند دارد دستگاه موبایلی می فروشد که در خودش به طور از پیش نصب شده ای بدافزار دارد؟ با اینکه زمان خوبی برای جواب دادن بهشان دادیم اما هرگز پاسخ مان را دریافت نکردیم».
سناریویی قدیمی
بدافزارهای از پیش نصب شده و اپ های ناخواسته پدیده ی تازه ای نیستند، این سناریوها دیگر قدیمی شدند. بعنوان مثال، در طی بررسی خرابی های بدافزار روی گوشی های مارک BLU، پی بردیم بسیاری از گوشی ها همراه با بدافزارهای از پیش نصب شده بودند و همچنین از طریق یک ابزار آپدیت طرف سوم بدافزارهای بیشتری را نیز دانلود کرده اند. اگر این کار تعمدی بود باشد عواقبش گریبان تولیدکننده ها را خواهد گرفت. برای مثال، لنوو این غول چینیِ تولیدکننده ی پی سی سر پیش لود کردن کد Superfish در سال 2014 حسابی به دردسر افتاد.