В некоторых моделях смартфонов Alcatel нашли вредоносное ПО

Специалисты британской компании Upstream обратили внимание на подозрительный трафик, исходящий со смартфонов некоторых клиентов. Как показало проведенное расследование , проблема содержится в приложении для показа прогноза погоды под названием «Weather Forecast-World Weather Accurate Radar», разработанном китайской компанией TCL Corporation, которой принадлежат бренды Alcatel, BlackBerry и Palm.

Приложение предустановлено на ряде моделей смартфонов Alcatel (в частности, Pixi 4 и A3 Max), а также было доступно другим пользователям Android-устройств через каталог Google Play Store (число загрузок программы превышает 10 млн).

Изначально специалисты обнаружили, что приложение собирает данные (информацию о местоположении, адреса электронной почты, идентификаторы IMEI) и отправляет их на серверы в Китае. Как выяснилось позже, скрытый в программе вредоносный код действует иначе в определенных регионах. Например, в Бразилии, Кувейте, Нигерии, Южной Африке, Египте и Тунисе приложение пыталось подписать пользователей на дорогостоящие платные сервисы. В общей сложности специалисты заблокировали более 27 млн попыток подписаться на платные сервисы, что могло повлечь за собой общий ущерб в размере $1,5 млн.

Вредоносное поведение приложения не ограничивалось только сбором данных и подпиской на платные сервисы – программа действовала как рекламное ПО. Приложение открывало в фоновом режиме скрытые вкладки браузера и загружало web-страницы, на которых кликало на рекламные баннеры. Активность приложения ежедневно генерировала от 50 МБ до 250 МБ трафика, причиняя дополнительный финансовый ущерб.

В настоящее время Google уже удалила приложение из Play Store. На данный момент неясно, каким образом версии приложения (предустановленная на смартфонах, и размещенная в Play Store) оказались инфицированы вредоносным кодом. По одной из теорий, источником заражения мог стать один из разработчиков TCL Corporation, чьи системы были скомпрометированы. Сама компания пока никак не комментирует ситуацию.

Securitylab