В смартфоне китайского производителя Cubot (в данном случае речь идет о модели Cubot Rainbow) обнаружен троян, спрятанный в системном приложении графического интерфейса SystemUI.apk. Об этом впервые стало известно в марте этого года от одного из владельцев аппарата.
Пользователь под ником gradinaruvasile пожаловался на форуме антивирусного ПО Malwarebytes, что видимо подцепил вирус, который определяется далеко не всеми антивирусными программами. Но на самом деле все оказалось гораздо серьезнее. Аппарат Cubot Rainbow спустя месяц после покупки начал открывать нежелательные веб-страницы. Причем переадресация происходила в Chrome, когда тот был запущен. Помимо этого, произвольным образом открывались страницы с приложениями в магазине Google Play и всплывающие окна со ссылками на эти приложения. В папке с загрузками появлялись файлы, в названиях которых был случайный набор цифр и букв.
С помощью утилиты NetGuard было определено, что системный процесс com.android.systemui пытался получить доступ интернету для открытия различных сайтов. Владелец злополучного смартфона сделал как минимум три сброса к заводским настройкам, при этом не устанавливая каких-либо неизвестных приложений и не открывая подозрительных сайтов. Ситуация повторялась через 1-2 месяца.
Другие пользователи утверждают, что столкнулись с такой же проблемой. Общая закономерность заключалась в том, что троян активировался спустя 1-2 месяца после покупки смартфона. По всей видимости устройства уже поставлялись с вредоносным ПО. В службе поддержки Cubot на этот счет посоветовали установить патч и файрвол, но ни то, ни другое не помогли.
В конце мая, разработчики все-таки выпустили обновление прошивки, одним из пунктов которого значилось «Улучшение защиты от вредоносного ПО». После проверки на сайте VirusTotal SystemUI.apk был чист.
Однако, оказалось, что разработчики просто заменили свое вредоносное ПО улучшенной версией, которое теперь было представлено пакетом, скрытым в процессе com.android.telephone.apk.6.
Троян избегает обнаружения файрволом NetGuard, предоставляет доступ на чтение/запись на карту памяти каждые две секунды и отправляет текущее местоположение, даже когда GPS не включен.
Поэтому надо брать сяоми, а не всякие нонеймы
хотя, ходят слухи, что они тоже прослушиваются...