Oblíbené levné telefony s Androidem jsou dodávány s trojským koněm. Jestli je máte, zasáhněte

Levné smartphony, tvářící se jako špičkové modely, mohou už z výroby obsahovat vir. Útočníci tak získají přístup ke kryptoměnám i citlivým datům.

Zdroj fotografie: Lukáš Altman (Mobify.cz) a Android (Google)

Na trhu jsou dostupné telefony s Androidem, které na první pohled připomínají prémiové modely, ve skutečnosti ale přichází s předinstalovaným malwarem. Některé laciné napodobeniny známých zařízení obsahují totiž už z výroby trojského koně, který cílí na krádeže kryptoměn, jak redakce Mobify zjistila. Nejde o ojedinělý exces, ale o promyšlené zneužití dodavatelského řetězce, které může zasáhnout i běžné zákazníky.

Telefon obsahuje malware už přímo z výroby

Bezpečnostní specialisté ze společnosti Doctor Web informovali o kampani, která je aktivní od června 2024. U vybraných levných mobilů objevili falešné klony populárních aplikací, jako je WhatsApp a Telegram. Ty obsahovaly tzv. clipper, což je škodlivý nástroj nahrazující zkopírované adresy kryptopeněženek adresami útočníků. Uživatel si zkopíruje adresu své peněženky, malware ji na pozadí změní a odeslané peníze skončí jinde.

Zasažené telefony měly kolikrát označení připomínající známé modely, například „S23 Ultra“ nebo „Note 13 Pro“. Reálné parametry ale popisu neodpovídaly. Útočníci dokonce upravili systém tak, aby se falešné specifikace zobrazovaly nejen v sekci „O zařízení“, ale dokonce i v diagnostických aplikacích typu AIDA64. Telefony měly slibovat Android 14, reálně však běžely na Androidu 12.

Malware byl do aplikací vložen pomocí nástroje LSPatch. Výsledek dostal označení Shibai podle řetězce nalezeného v jeho kódu, vysvětluje theHackerNews. Infikovány byly desítky aplikací, nejen messengery, ale i čtečky QR kódů a další. Shibai umí:

• Nahrazovat adresy kryptopeněženek
• Číst a odesílat chatovou komunikaci
• Vyhledávat v úložišti obrázky obsahující obnovovací (seed) fráze peněženek
• Komunikovat s více než 60 řídicími servery (C2)

Podle zjištění expertů jedna z útočných peněženek získala během dvou let neuvěřitelný 1 milion dolarů (cca 23 milionů Kč), jiná 500 tisíc dolarů (zhruba 11,5 milionu Kč). Přesný rozsah ale nelze úplně stanovit, protože adresy peněženek se různě mění.

Nejde o první případ, peníze na tom podvodníci už vydělali

Podobné incidenty se objevily už v minulosti. Společnost G Data opakovaně upozorňovala na telefony s předinstalovaným malwarem, stejně jako Palo Alto Networks, která odhalila zadní vrátka v zařízeních značky Coolpad, popsal SecurityAffairs. A pokud se útočník dostane do výrobního či distribučního procesu, běžný uživatel nemá šanci infekci odhalit pouhou kontrolou aplikací. Riziko je možné rizikovat alespoň následujícími kroky:

• Vyhýbejte se podezřele levným telefonům s parametry, které nemají vzhledem k ceně logiku
• Nakupujte u oficiálních prodejců a ověřených distributorů
• Aplikace instalujte výhradně z obchodů jako Google Play
• Neukládejte screenshoty seed frází ani hesel v nešifrované podobě
• Zvažte mobilní bezpečnostní řešení, například Dr.Web Security Space

Levný telefon se vám takto může prodražit. Pokud je zařízení napadeno už při nákupu, nepřijdete jen o data, ale škody budou i finanční. V závěru mohou dosahovat opravdu velkých částek.