ТРОЯНЫ И БЭКДОРЫ В КНОПОЧНЫХ МОБИЛЬНЫХ ТЕЛЕФОНАХ РОССИЙСКОЙ РОЗНИЦЫ - ValdikSS & Co.
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Три кита мобильных SoC RDA Microelectronics Spreadtrum Mediatek • MIPS • ARM • ARM • Только 2G • 2G/3G/4G • 2G/3G/4G • Более не выпускаются, • Ребрендированы в но всё ещё продаются Unisoc, но продолжают • Компания куплена выпускать чипы под Spreadtrum старым брендом 4
Что я купил Были куплены почти случайные телефоны, ориентируясь по визуальному виду интерфейса и немногочисленной информации в интернете: • Inoi 101 (RDA8826/SC6533, 600₽) • DEXP SD2810 (SC6531E, 699₽) • Itel it2160 (MT6261, 799₽) • Irbis SF63 (SC6531DA, 750₽) • F+ Flip 3 (SC6531DA, 1499₽) 5
Классификация нежелательных функций • Отправка СМС и выход в интернет для «отслеживания продаж» • Троян, отправляющий СМС на платные (короткие) номера, предварительно загрузив текст и номер с сервера через интернет • Бэкдор, перехватывающий входящие СМС-сообщения и отправляющий их на сервер 7
Методы обнаружения и анализа • Проверка детализации мобильного оператора • Анализ прошивки телефона • Использование собственной базовой станции GSM (2G) 8
Проверка детализации моб. оператора Как делать: достаточно не пользоваться телефоном сутки, после чего запросить детализацию в виде файла через онлайн-кабинет мобильного оператора. Что получаем: факт выхода в интернет (без адреса и содержимого), факт отправки СМС-сообщения и номер получателя, точное время совершенных действий. Результат: помогает легко понять, содержится ли в телефоне нежелательная функциональность, без подробностей. 9
Анализ прошивки телефона Как делать: 1. Получаем дамп или скачиваем прошивку в интернете 2. Распаковываем при необходимости 3. Исследуем код прошивки вручную Mediatek: доступен распаковщик, легко сделать дамп прошивки RDA: запакована частично, дамп снимается скриптом или спец. ПО Spreadtrum: распаковщик отсутствует, проблемы с дампом прошивки 10
Анализ прошивки телефона Что получаем: весь программный код прошивки Результат: детальное понимание нежелательной/вредоносной функциональности, степень её опасности, с возможностью дальнейшего отключения. 11
Получение прошивки Так называемые «боксы» — аппаратно-программные комплексы для прошивки и восстановления от сторонних разработчиков. • Miracle Thunder • Infinity CM2 12
Способы распаковки прошивки Mediatek: основная часть прошивки (раздел ALICE) запакована кодами Хаффмана. Существует распаковщик unalice, разжимающий файл: https://github.com/donnm/mtk_fw_tools/ Spreadtrum: основная часть прошивки сжата модифицированным LZMA, распаковщик отсутствует в публичном доступе. RDA: некоторые части прошивки сжаты LZMA, можно сдампить из RAM: https://habr.com/ru/post/558780/ 13
Базовая станция 2G Необходимое оборудование: Software Defined Radio (SDR) и компьютер с бесплатным открытым ПО Что получаем: доступ ко всему сетевому трафику GSM/GPRS, с возможностью его просмотра и модификации на лету. Результат: детальный массовый практический анализ вредоносной активности без предварительной подготовки каждого устройства. 14
Базовая станция 2G Моя конфигурация: • bladeRF x115 ($650) • Raspberry Pi 400 ($100) • YateBTS + Wireshark 15
Inoi 101 Российский OEM-поставщик. Самый «чистый» телефон из приобретенных: • Не отправляет СМС автоматически • Не выходит в интернет 16
Itel it2160 Китайский производитель, ⚠ выпускающий устройства для развивающихся стран. • Сообщает «о продаже» через интернет, без предупреждения • Имеет публичную базу «проданных» устройств 17
POST /SaleStatistics/sendsale/sendSale?ua=itel- Itel it2160 it2160&screen=128X160&imsi=9250991625668426&imei=354648 020000251&phone_version=it2160-DL194-EnRuUk-RU- 20210201&platform=2&device=1&lang=Русский язык&timeStam p=2021-01- 0102:00:00&auth=ed6bdd17212ec9c9699a6b0a693870fd HTTP/1.1 Host: asv.transsion.com:8080 Cache-Control: no-cache Pragma: no-cache Connection: Keep-Alive x-wap-profile: http://nds.nokia.com/uaprof/N6280r100.xml Content-Length: 0 HTTP/1.1 200 OK Server: nginx/1.14.0 (Ubuntu) Date: Mon, 31 May 2021 16:05:17 GMT Content-Type: application/json;charset=UTF-8 Content-Length: 52 Connection: keep-alive {"response":{"code":"201","desc":"Repeat Products"}} 18
Itel it2160 • IMEI • Страна • Модель • Версия прошивки • Язык • Время активации • Идентификатор базовой станции (LAC/TAC) http://asv.transsion.com:8080/openi nfo/open/index 19
F+ Flip 3 Российский OEM-поставщик. ⚠ • Сообщает «о продаже» через СМС на номер +79584971255 • Передаёт IMEI, IMSI • Не содержит браузера, не выходит в интернет 20
F+ Flip 3 21
F+ Flip 3 → Разные номера телефонов для каждого региона (PLMN) Отправка СМС с IMEI и IMSI → 22
F+ Flip 3 23
F+ Flip 3 На 4pda была обнаружена прошивка с отладочными символами от нескольких моделей фирмы BQ gmb = gmobi? 24
DEXP SD2810 ☣ Российский бренд сети магазинов DNS. • Сообщает «о продаже» через интернет, без предупреждения • Передаёт IMEI, IMSI • Обращается к CnC в интернете и выполняет его команды • Отправляет платные СМС на короткие номера с текстом, полученным с сервера 25
DEXP SD2810 POST http://www.mgs123.com:8080/fee/mergserv HTTP/1.1 Host: www.mgs123.com GetFeeConfig Accept: */* User-Agent: MOT-E398/0E.20.34R MIB/2.2.1 Profile/MIDP- 2 2.0 Configuration/CLDC-1.0 UP.Link/5.1.2.6 6000 Content-Length: 177 -1 1 BCMD=GetFeeConfig&CRTY=6&IMSI=250991625668426&RIMSI=25 null 0 0991625668426&CTYPE=1&CVER=2001&NONCE=151927053004&PLM N=25099&PMOD=8411&PNUM=&RTYPE=A&SIGN=7295DD12B0B11CF99 7AC8B4A593D82FA sms 0 1 50.0 45 1 171 0 20210815 1 26
DEXP SD2810 $ whois mgs123.com | grep Registrar Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: http://whois.aliyun.com Registrar Registration Expiration Date: 2024-08-01T08:22:22Z Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd. Registrar IANA ID: 420 Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com Registrar Abuse Contact Phone: +86.95187 $ dig +short www.mgs123.com 121.201.57.203 $ whois 121.201.57.203 | grep descr descr: Guangdong RuiJiang Science and Tech Ltd. descr: Room 404 ,No.100, Lingnan Avenue North, descr: Lingnan Building, Foshan, GuangDong, descr: CNC Group CHINA169 Guangdong Province Network descr: Addresses from CNNIC(HUANDAO) 27
DEXP SD2810 28
DEXP SD2810 02.01.2019, мы приобрели телефон Dexp SD2810 [...] в день покупки мы вставили сим-карты и спустя 2 часа со счёта произошло списание денежных в размере 50 рублей. По детализации я увидел, что была отправка смс на номер 4446 и заказан какой-то развлекательный контент [...] 15.01.2019 и 02.02.2019 также были отправлены смс на этот же номер 4446 и списано по 50 р. за каждую. https://www.city-n.ru/view/421207.html 29
Irbis SF63 Российский OEM-поставщик. ☣ • Сообщает «о продаже» через интернет, без предупреждения • Передаёт зашифрованные данные на сервер • Обращается к CnC в интернете и выполняет его команды 30
Irbis SF63 GET HTTP/1.1 200 /checkupdate?p=hxB4ZvBrVc9Hl8wcdORsVcZHmHet Server: nginx/1.12.0 Yc9sSHwEhuvtWc5Hkf0EYcF0SHGolxF4VEdrXcFsWER Date: Sat, 19 Jun 2021 15:11:06 GMT wWEhzW8RxSHGoifF4VudsXclvVc9rVuBzVuBySI6Nhg Content-Type: text/html;charset=UTF-8 Z4WEduVdZHlxV4WuFrVulrVc9sVc9HiHOvYc9HlxwuY Content-Length: 28 c9HmxOrYc9HlHeIYfONk7iwlyWFYcRHjgitYc9HmPsE Connection: keep-alive Yc9HhHZ4Vc5oVc5oVE5sX75sWcJsWcJtVB%3D%3D Pragma: no-cache HTTP/1.1 Expires: Thu, 01 Jan 1970 00:00:00 GMT Accept: */* Cache-Control: no-cache Accept-Language: zh-cn Cache-Control: no-store Host: hwwap.well2266.com:8077 Cache-Control: must-revalidate Connection: Keep-Alive Cache-Control: no-cache hfWvjgiGiQa2VE5tVbvrWDvsXgv= User-Agent: MAUI WAP Browser Accept-Charset: utf8,gb2312 31
Irbis SF63 $ whois well2266.com | grep Registrar Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: http://whois.aliyun.com Registrar Registration Expiration Date: 2023-06-17T02:47:49Z Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd. Registrar IANA ID: 420 Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com Registrar Abuse Contact Phone: +86.95187 $ dig +short hwwap.well2266.com 47.88.242.46 $ whois 47.88.242.46 | grep Organization Organization: Alibaba.com LLC (AL-3) 32
Irbis SF63 Началось все 24 октября 2020 года. [...] телефон радостно прислал мне уведомление, что новый контакт зарегистрировался в телеграм. Сон как рукой сняло ибо в телеграме зарегистрировалась бабушка моей девушки. https://tjournal.ru/stories/351729-babushkofon-voruyushchiy-sms-i-telegram-akkaunty 33
Irbis SF63 Сегодня приходит сообщение в телеграмме, что моя бабушка теперь в Telegram! Я сильно удивился, ведь бабушке уже больше 80 лет, телефон кнопочный, без доступа в интернет. Позвонил ей, уточнил, говорит, что недавно приходил смс-код от номера Telegram. https://pikabu.ru/story/kak_poluchit_dostup_k_sms_lyubogo_ nomera_ili_bilayn_probivaet_dno_7468291 34
Результаты 4 из 5 телефонов содержат незадекларированную функциональность, из них: • ⚠ 2 модели расходуют деньги со счёта (отправляют данные после покупки через СМС/интернет) • ☣ 1 модель выходит в интернет и отправляет платные СМС- сообщения на короткие номера • ☣ 1 модель пересылает входящие сообщения через интернет 35
Кто виноват? • Бренд Не разрабатывает прошивку и не проверяет её на наличие незадекларированных возможностей. Как правило, не выкладывает прошивку на сайт, а отправляет в сервисный центр. Отрицает проблему или умалчивает о ней. • OEM-производитель Готов внедрить любой каприз бренда или производителя сторонних модулей (за ваши деньги). • Минцифры (бывший Минсвязи) Проверяют только сертификацию продукции на соответствие мировым и российским стандартам связи. 36
Связь с производителями • DEXP Запрос через веб-сайт остался без ответа. • BQ Запрос через email: на вопросы не ответили, посоветовали обратиться в сервисный центр. • F+ Запрос через email с подтверждением получения через звонок в call- центр: ответили на часть вопросов, выпустили обновление прошивки, доступное только через сервисный центр. 37
Диалог с компанией F+: запрос Кнопочный телефон F+ Flip 3 в автоматическом режиме и незаметно для пользователя отправляет СМС-сообщения на номер +79584971255 при установке в него российских SIM-карт, причём отправленное СМС- сообщение не сохраняется в памяти телефона. Сообщения содержат IMEI-номер устройства, IMSI-номер SIM-карты, и три фиксированных значения. … Полный формат сообщения следующий: #IMSI#IMEI#250124#64#1# Где IMSI — IMSI-номер SIM-карты, IMEI — IMEI-номер телефона. 38
Диалог с компанией F+: ответ • С какой целью данная функциональность внедрена в устройства F+; • Нет информации. • Почему о ней не заявляется на официальном сайте, коробке или инструкции устройства; • Потому что этот функционал внедрён не нашими инженерами. • Как обрабатываются полученные данные; • Нет информации. • Какому юридическому или физическому лицу принадлежит номер +79584971255. • Нет информации. 39
Диалог с компанией F+: ответ 03.06.2021 Мы занимаемся решением данной проблемы. На новых ревизиях с новой прошивкой такой проблемы нет. Однако новая прошивка несовместима со старой ревизией телефонов. Как только в сервисе появится новая прошивка для старых ревизий я Вам сообщу. 15.06.2021 В сервисный центр поступила прошивка SW06 в которой решена эта проблема, обратитесь в ближайший сервисный центр из списка по ссылке https://fplusmobile.ru/support/ для перепрошивки Вашего телефона. 40
Диалог с Минцифры Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации [...] рассмотрело Ваше обращение о производителе оборудования ООО «Ф-Плюс Мобайл» и сообщает следующее. Согласно Положению, Минцифры России осуществляет функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере связи [...] Информируем, что средства связи, указанные в Вашем первоначальном обращении, прошли процедуру обязательного подтверждения соответствия Правилам применения оборудования радиодоступа. [...] Следует отметить, что в соответствии с Правилами при декларировании телефонных аппаратов для сетей подвижной радиотелефонной связи проверка наличия или отсутствия отправки коротких сообщений в автоматическом режиме не предусмотрена. Федеральный государственный надзор в области защиты прав потребителей осуществляется уполномоченным федеральным органом исполнительной власти – Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор). 41
Что делать? Мобильных телефонов огромное количество, проверить их все невозможно. • Читайте отзывы перед покупкой • Отслеживайте поведение нового телефона в течение суток по детализации оператора после покупки • Пишите в Роспотребнадзор, ФСБ (?) и производителю, если обнаружили непонятную активность 42
…а что с приёмом СМС? Ни один из телефонов не предоставляет полноценный AT-порт через USB или Bluetooth. 43
SIM во главе всего Не только телефон может отправлять SMS, но и SIM. 44
Бонус Самые странные телефоны Rezone A281 Force • Огромный динамик • Фонарик из 20 светодиодов • Лазерная указка • Выдвижная антенна FM • Функция караоке • 3 SIM-карты 45
Самые странные телефоны Strike F10 Комментарий владельца: Пожалуй, единственный телефон, поднимая который, можно говорить не «алло», а «у аппарата». Тоже отправляет СМС! ⚠ 46
49
50
51
52
53
54
Вы также можете почитать