Android-устройства могут поставляться со встроенным вредоносным ПО
Android-устройства могут поставляться со встроенным вредоносным ПО и бэкдорами из-за недостаточного контроля и проверки. По словам исследователя Мэдди Стоун (Maddie Stone) из Google Project Zero, злоумышленники пользуются этой возможностью для размещения вредоносного кода прямо на стадии разработки и заражения таким образом цепочки поставок.
Сертифицированные устройства Android, поставляющиеся с предварительно установленными приложениями Google, используют утвержденные образы сборки для мобильной операционной системы. Они проходят тщательное тестирование перед выпуском потребителям, проверяющее соблюдение модели безопасности и разрешений Android, а также наличие последних обновлений ОС.
Однако большинство поставщиков Android используют более дешевую версию операционной системы Google - AOSP (Android Open-Source Project). Защиту от вредоносных приложений в таком случае обеспечивает встроенный Google Play Protect (GPP). Злоумышленники видят возможность в этой схеме, ведь достаточно убедить одного производителя включить вредоносный код среди предустановленных приложений и заражение способно охватить тысячи пользователей.
В качестве примера Стоун привел ботнет Chamois, использующийся для мошенничества через SMS, клики, установки приложений. Вредонос распространялся в виде SDK сторонним разработчикам, которые принимали его за рекламную библиотеку и невольно включали в свое приложение. Операторам Chamois удалось заразить около 7,4 миллиона устройств в марте 2018 года. Пользователи видели на своих телефонах предустановленное приложение, которое могло загружать бэкдор Chamois, троян Snowfox и ПО для кликфрода.