Вирусы в китайских телефонах из российских магазинов

Я имею непосредственное отношение к производству товаров в Китае. И хочу поделиться информацией по поводу вирусов и троянов в телефонах и смартфонах китайского производства, которые можно купить в российских магазинах. Ни изменения на рынке, ни сертификация Гугл ситуацию не меняют, и она с периодичностью привлекает к себе внимание.

Немного о моём опыте. Я беспрерывно работаю с китайским производством уже более 13-ти лет. И знаком со многой спецификой и особенностями этого бизнеса. Ранее я занимался мобильными, смартфонами и устройствами передачи данных, сейчас переключился на потребительскую электронику попроще.

Мой опыт и наблюдения изложены в книгах «Китайцы: руководство по применению» и «Китайцы: коммунизм на продажу».

В статье буду опираться на свой опыт, полученный во время работы на российский бренд teXet и чешские FlameFox & Alligator.

Недавно меня попросили прокомментировать заметку на сайте Пикабу, в которой покупатель смартфона Tecno обнаружил на своём смартфоне из коробки вредоносный файл. Это можно увидеть на скриншоте:

Эта проблема не новая. Вредоносные файлы на смартфонах и мобильных телефонах из коробки пользователи обнаруживают с завидной периодичностью. Эти материалы привлекают внимание, но глобально проблема не решается. Это происходит и из-за ограниченных возможностей локальных брендов, которые производят телефоны в Китае, и из-за запутанной схемы, которую используют злоумышленники.

Выше уже была ссылка на заметку со смартфоном Tecno. Вот ссылка на статью 2021 года на Хабре, в которой автор обнаружил вредоносное ПО на кнопочных телефонах F+, Itel, Irbis и других.

Здесь вновь обращусь к своему опыту в отрасли. В teXet, FlameFox мы занимались и доработкой готовых дизайнов, и полностью авторскими разработками, одной из которых, например, стал один из самых продаваемых в мире мобильных телефонов (c его прошивкой, к слову, всё было в порядке).

Кто делает программное обеспечение произведенных в Китае мобильных

Несмотря на то, что кнопочные телефоны мы заказывали контейнерами (тираж был от 10000 до 1000000 штук), ни у нас, ни у других локальных брендов не было доступа к исходным кодам программного обеспечения мобильных устройств. Как нет его и сейчас, иначе ситуация с вредоносным ПО не повторялась бы.

Мы разрабатывали дизайны, писали требования к программному обеспечению, но само ПО как для кнопочных телефонов, так и для смартфонов создавалось исключительно в Китае. Разработчики плат замыкали этот процесс на себя и противились любым запросам исходников.

Исходники не давали ни нам, ни фабрикам, которые собирали мобильные телефоны и смартфоны на своих линиях. Даже, если нам удавалось самостоятельно вскрыть исходные коды с помощью программистов, производители плат отказывались использовать модифицированное программное обеспечение под угрозой снятия гарантии с плат.

То есть если в платах обнаруживался брак, предъявить претензии поставщику компонентов мы уже не могли. Дальнейшее обновление ПО так же ложилась на наши плечи, как и анализ багов готовых устройств с последующим их исправлением.

У локальных брендов ресурсов на такую поддержку и модификацию прошивок физически нет. Даже небольшие китайские компании, работающие в определенных нишах, так же привязаны к производителям плат в вопросах обновления ПО.

Если кто-то из локальных брендов имеет собственный штат разработчиков и смело отказывается от услуг китайских программистов, я готов извиниться за свои слова, но есть ощущение, что делать этого не придётся.

Содержание штата программистов требует денег, а телефоны марок второго эшелона покупают потому, что они недорогие.

Первые вирусы в наших мобильных.

Первый раз мы столкнулись с «китайскими» мобильными вирусами (кавычки не случайны) 12 или 13 лет назад. В один момент мы столкнулись с массовыми жалобами от пользователей, телефоны которых подписываются на платные сервисы (см. статью Хабра, где ситуация почти точно повторяется спустя 8-9 лет). Пользователи возмущались и угрожали судами.

Что происходит, мы сами не понимали. Как примитивный аппарат, многократно протестированный инженерами, может сам на что-то подписываться?! Меню телефона мы знали от и до, аппараты тестировались на симках всех операторов.

Да, мы не разрабатывали программное обеспечение, но были прекрасно знакомы с нашими разработками, их меню и функционалом.

Проблемы мы выявили через обратную связь, когда инженер поддержки лично прошёл весь процесс несогласованной подписки с настойчивым пользователем, который дозвонился в офис.

Оказалось, что вредоносные программы зашиты в примитивные мобильные игры! В те самые «змейки», «тетрисы» и прочие пиксельные творения, которые можно найти в аппаратах с разрешением экрана 128*128 пикселей и чуть больше.

Работало это так: после окончания игры выскакивало сообщение «поделиться результатом», а после согласования пользователя, отправлялось сообщение на короткий номер. Или же пользователю предлагалось «загрузить другую игру». Это всегда было дополнительным предложением.

Немногие пользователи играли в игры, немногие делились результатом. Но, повторюсь, кнопки продавались огромными тиражами. Поэтому каждый месяц несколько тысяч человек подписывались на ненужные платные сервисы.

Естественно, мы сделали обновление прошивок. Игры с «особенностями» были удалены или заменены на аналоги. Судя по статье Хабра, сейчас для подписок даже не нужны игры.

Первоначально мы списали ситуацию на глупость китайских разработчиков. Но всё оказалось сложнее.

Смартфоны и новое вредоносное ПО

Далее «китайские вирусы» (производства Санкт-Петербурга, как потом выяснилось) были обнаружены в смартфонах.

На смартфонах вредоносное ПО, в основном, транслировало рекламу. Думаю, многие сталкивались с рекламой в устройствах Xiaomi, где для нормального использования нужно отключить эту опцию во многих приложениях разработчика.

В наших смартфонах реклама не отключалась и регулярно демонстрировалась пользователям, некоторые из которых обрывали телефонную линию в офисе. Часть уведомлений предлагала подписку на платные сервисы и часть пользователей подписывалась, вновь предъявляя претензии нам.

От коллег по отрасли я слышал информацию о том, что некоторое ПО просто ворует пользовательские данные и перепродаёт статистику на сторону без согласия абонента. Это же и подтверждает и статья Хабра, написанная значительно позже событий.

Мы выпускали обновление ПО, тестировали новые прошивки антивирусами и угрожали китайским фабрикам, которые сами не имели понятия, что происходит.

Бренд DEXP, упомянутый в материале по ссылке, так же сталкивался с подобной проблемой. Во Владивостоке коллеги вручную перепрошивали несколько партий смартфонов.

Как вирусы попадают в мобильные устройства

Как у нас, так и у коллег по отрасли программное обеспечение создавалось в компаниях производителей плат. И это было единственный путь, по которому вредоносное ПО могло проникнуть в наши устройства. Повторюсь, что китайские производители плат не дают исходных кодов и запрещают делать самостоятельные модификации программного обеспечения.

Мы выделили три пути, по которым вирусы подсаживаются:

· это сознательно делают поставщики плат, получив за это деньги от заинтересованных лиц, которые зарабатывают на подписках и трансляции и рекламе;

· это может делать отдельно взятый инженер, которого подкупили. Но случай кажется редким, так как он должен работать над прошивкой конкретного устройства для конкретного рынка;

· загрузка вредоносного ПО происходит с негласного согласия локальной торговой марки или её представителей, которые находятся в доле;

· вредители делают собственную прошивку и перепрошивают устройства в стране продажи. Процесс трудоёмкий и вряд ли возможная выгода стоит трудозатрат.

Почему вирусы не могут быть случайностью

Вначале мы предполагали, что платная подписка ошибочно досталась нам от игр, которые делались для китайского рынка. Но случайностью это не было.

Судите сами: вирус должен оформлять подписку на сервисы, доступные в регионе продажи устройства. Возможность подписки должна быть реализована на всех операторах связи. Реклама должна транслироваться на понятном языке и в так же в регионе, который выбрал рекламодатель.

Если бы пользователь пробовал подписаться на китайские сервисы с китайскими идентификаторами, в другом регионе, ничего бы не происходило или выскакивала бы ошибка. Реклама, которую видели пострадавшие, была на русском языке.

Таким образом расследование привело нас из Санкт-Петербурга в Санкт-Петербург. Более того, в прекрасно знакомую мне компанию. Короткие номера, на которые шла подписка контента, принадлежали ей. Правда, выяснилось, что сама компания пересдаёт эти номера другим юридическим лицам, которые пересдают их дальше. И просьба отключить эти номера для минимизации ущерба лишь единожды закончилась успешно и только после вмешательства представителей оператора связи, которые номера обещали лично отключить.

В другие моменты владельцы коротких номеров кивали на партнёров, которые кивали на партнёров, которые никуда не кивали, а просто не отвечали на запросы.

Возможно, мы никогда бы не узнали всей правды, если бы не предложение официально оформить отношение с нашей торговой марки и получать выплаты «за доход от мобильного контента в устройствах». Это подразумевало, что ненужные подписки остаются в телефонах и смартфонах, а мы закрываем глаза на их существование.

В рамках тех переговоров нам намекнули, что представитель компании «плотно работает» с производителями плат в Китае и умеет их заинтересовывать. Представитель не планировал прекращать эту «плотную работу», даже несмотря на наши отказы.

Но мы отказались. Мы перестали работать с производителями плат, которые поставили набольшее количество плат с сюрпризами. Из прошивок мобильных были удалены все игры, было переработано меню, а смартфоны стали проверять ещё более тщательно. Хотя судя по статье на Хабре, игры для отправки СМС и платных подписок не очень-то и нужны.

Вирусы в 2024 году

Мне казалось, что после введения обязательной сертификации Google проблема «жучков» и вредоносного ПО в смартфонах решилась сама собой. Сейчас все смартфоны с сервисами Google проходят обязательное тестирование с сотнями тысяч тестов, а после прохождения тестов получают уникальную подпись (fingerprint), которая не действует, если была изменена конфигурация или прошивка.

Для изменения прошивки сертификацию нужно проходить заново.

Да, были умельцы, которые манипулировали с fingerprint, но Google с такими манипуляциями боролся. Тем не менее, у нас есть хорошие программисты, которые вполне могли хакнуть гугловкие ограничения даже во вред пользователю.

Случай Tecno

Данных о том, чем занимается что вредоносное ПО, обнаруженное в смартфоне Tecno у меня нет. Возможно оно отправляет на сторону данные пользователя или показывает ему рекламу. Возможно, умельцы дошли до воровства денег из банковских приложений.

Проведу только ту параллель, что пользователь Хабра в 2021-м году обнаруживал продажу контента в кнопочном телефоне Itel, который входит в Transsion, объединяющий бренды Tecno, itel, Infinix, Spice.

У меня так же нет данных, разрабатывает ли Tecno ПО самостоятельно или в глазах производителей плат она является мелким брендом, который исходников не получает.

Для того, чтобы понять, был ли это частный случай, нужно проверять антивирусом партию и в принципе разобраться, как вредоносное ПО работает.

Плюс хотелось бы пожелать инициативной группе всё же найти в себе силы и решить вопрос с короткими номерами, на которые происходит несогласованная отправка сообщений и подписка. О коллективных исках к владельцам подобных номеров я не слышал.

Пользователем мобильных и смартфонов советую покупать телефоны и смартфоны торговых марок с репутацией, которые разрабатывают программное обеспечение самостоятельно. Но, как сказано в статье, это так же влияет на стоимость устройств.

***

Тринадцать лет занимаюсь производством и закупками электронных товаров в Китае. Делюсь опытом. Пишу о своих проектах, специфике поставщиков и современной жизни Поднебесной.

Веду телеграм-канал. Издал книги «Китайцы: руководство по применению» (доступна на LitRes и Ozon) и «Китайцы: коммунизм на продажу» (доступна на LitRes и Ozon)

Всегда рад новым подписчикам.

#китай #китайскиетовары #сделановкитае #китайцы #личныйопыт #мояработа #торговля