Onderzoekers van Trend Micro en Black Hat Asia hebben ontdekt dat miljoenen Android apparaten nog voordat ze in de fabriek in hun doos gestopt worden, al besmet zijn met malware. Volgens de onderzoekers zijn het vooral goedkope apparaten die hierdoor getroffen worden. En dan met name de goedkope smartphones, al hebben ze ook smartwatches, tv’s en andere Android apparaten aangetroffen die ‘af fabriek’ al met malware besmet waren.
Volgens de onderzoekers is de besmetting mogelijk doordat de productie van de betreffende Android gadgets uitbesteed wordt aan een OEM-fabrikant. Daardoor kan iemand in de productiepijplijn – zoals bijvoorbeeld een leverancier van firmware – producten met kwaadaardige code te infecteren voordat ze de fabriek verlaten.
Het probleem speelt volgens The Register, die hier over schrijft, al langer. In 2017 werd er namelijk ook al eens melding van gemakt. Sterker nog, in 2015 meldde het G DATA SecurityLab dit ook al eens. De onderzoekers van Trend Micro waarschuwen nu dat deze vorm van het verspreiden van malware groeit. Dat stelde een van de onderzoekers van het bedrijf toen hij in Singapore tijdens een conferentie sprak en zich afvroeg wat de gemakkelijkste manier is om miljoenen apparaten te infecteren.
Net als bij een boom, zo stelde Fyodor Yarochkin, geldt dat wanneer je een apparaat bij zijn wortels (tijdens de fabricage) infecteert, dan verspreidt het zich letterlijk naar alle ‘takken en bladeren’. Ofwel, door besmette firmware in het fabricageproces te ‘injecteren’, worden uiteindelijk miljoenen apparaten geïnfecteerd.
Het probleem van de ‘fabrieksmalware’ is volgens de onderzoekers mede ontstaan door prijsdaling van firmware voor mobiele telefoons. De concurrentie tussen firmwaredistributeurs werd zo hevig dat de providers uiteindelijk geen geld konden vragen voor hun product. Kortom, de firmware leverde niets meer op.
En dus, om te overleven, gingen producenten van firmware op zoek naar andere verdienmodellen. Het toevoegen van plug-ins en andere software tools bijvoorbeeld. Daarmee werd ook het risico groter dat malafide software in de firmware belandde.
Het team van onderzoekers analyseerde tientallen firmware-images op zoek naar schadelijke software. Ze vonden meer dan 80 verschillende plug-ins, hoewel veel daarvan (nog) niet wijdverspreid waren. De plug-ins met de meeste impact waren de plug-ins waar een bedrijfsmodel omheen was gebouwd, die ondergronds werden verkocht en openlijk op de markt werden gebracht op plaatsen als Facebook, blogs en YouTube.
Het doel van de malware is om informatie te stelen of geld te verdienen met verzamelde of geleverde informatie. De malware verandert de apparaten in proxy’s die worden gebruikt om sms-berichten te stelen en te verkopen, sociale media en online berichten-accounts over te nemen, en worden gebruikt om geld te verdienen via advertenties en klikfraude.
Kortom, goedkoop blijkt maar weer eens duurkoop. Al brengt deze vorm, met schadelijke malware, natuurlijk een veel groter risico met zich mee dan een goedkoop gadget met een inferieure accu of processor om de prijs te drukken.
De malware is door het team van Trend Micro en Black Hat Asia gevonden in de smartphones van ten minste 10 leveranciers, maar de kans is groot dat er nog zo’n 40 toestellen mogelijk geinfecteerd zijn. Om het risico op een smartphone met malafide firmware te verkleinen, kan het verstandig zijn voor een toestel van een van de bekende (grotere) merken te kiezen.
“Grote merken zoals Samsung en Google zorgden relatief goed voor de beveiliging van hun toeleveringsketen, maar voor cybercriminelen is dit nog steeds een zeer lucratieve markt”, aldus Yarochkin.