Auf Tausenden Billig-Smartphones des chinesischen Herstellers Transsion wurde vorinstallierte Malware entdeckt, die Mobilfunknutzer ohne deren Genehmigung für Abonnementdienste anmeldet. Die Entdeckung wurde von der Betrugsbekämpfungsplattform Secure-D von Upstream gemacht, deren Forscher eine eingehende Untersuchung der Herkunft der von ihrer Plattform erkannten verdächtigen Transaktionen durchführten. Im März letzten Jahres entdeckte und blockierte das Unternehmen eine ungewöhnlich hohe Anzahl von Transsion Tecno W3-Telefontransaktionen in Äthiopien, Kamerun, Ägypten, Ghana und Südafrika sowie weitere betrügerische Mobilfunktransaktionen. in 14 weiteren Ländern entdeckt. Bisher wurden insgesamt 19,2 Millionen verdächtige Transaktionen von mehr als 200.000 einzelnen Geräten erfasst, bei denen Benutzer angeblich ohne deren Genehmigung heimlich für Abonnementdienste angemeldet wurden. Viele dieser blockierten Transaktionen wurden von einer App-Familie namens com.mufc durchgeführt, deren Quelle unbekannt ist und die in keinem Android-App-Store heruntergeladen werden kann. Geoffrey Cleaves, Upstream-Direktor von Secure-D, lieferte zusätzliche Informationen zum aktuellen Stand des mobilen Werbebetrugs und erklärte: „Mobiler Werbebetrug entwickelt sich zu einer Epidemie, die, wenn sie nicht bekämpft wird, die mobile Werbung reduziert, das Vertrauen in die Betreiber untergräbt und die Benutzer zurücklässt höhere Rechnungen. Zur Sensibilisierung ist ein einheitlicher Ansatz erforderlich. Diese besondere Bedrohung kommt den Schwächsten zugute. Die Tatsache, dass die Malware auf Mobiltelefonen vorinstalliert ist, die von Haushalten mit typischerweise niedrigem Einkommen millionenfach gekauft werden, verrät Ihnen alles, was Sie über die aktuellen Herausforderungen in der Branche wissen müssen. "
Malware vorinstalliert
Um die große Anzahl verdächtiger Transaktionen zu untersuchen, beschaffte Secure-D eine Auswahl neu gekaufter Tecno W2-Mobiltelefone und -Geräte von tatsächlichen Benutzern. Die Analyse des Unternehmens wurde mit einer Mischung aus Gerätemodellen und Firmware-Versionen durchgeführt und die getesteten Smartphones wurden mit verschiedenen Netzwerktypen verbunden. Die Untersuchung von Secure-D bestätigte, dass die Tecno W2-Geräte von Transsion mit vorinstallierter Triada-bezogener Malware ausgestattet waren. Triada ist eine beliebte Malware, die als Hintertür und Malware-Downloader fungiert. Die Malware nutzt Geräteprivilegien auf höherer Ebene, um beliebigen Schadcode auszuführen, nachdem sie Anweisungen von einem Remote-Befehls- und Steuerungsserver erhalten hat, bevor sie ihre Anwesenheit in permanenten Systemkomponenten verbirgt, um eine weitere Erkennung zu verhindern. Nachdem Secure-D die erworbenen Tecno W2-Geräte mit dem Internet verbunden hatte, lud die Triada-Malware einen Trojaner namens xHelper herunter. Der Trojaner bleibt bei Neustarts, App-Entfernungen und sogar beim Zurücksetzen auf die Werkseinstellungen bestehen, was es selbst für erfahrene Profis äußerst schwierig macht, ihn zu entfernen. Secure-D hat außerdem herausgefunden, dass xHelper-Komponenten, wenn sie der entsprechenden Umgebung, beispielsweise einem bestimmten Telefonnetz, ausgesetzt werden, Anfragen stellen, um neue Abonnementziele zu finden, und betrügerische Abonnementanfragen im Namen des Eigentümers senden. ahnungsloses Telefon. Da diese Anfragen automatisch und unsichtbar erfolgen, hätten sie die Prepaid-Sendezeit des Benutzers verbraucht, da dies in vielen Schwellenländern die einzige Möglichkeit ist, digitale Zahlungen durchzuführen. Der Übergang ist möglicherweise nicht einmal schuld, da ein Blogbeitrag des Sicherheitsteams von Google die Existenz von Triada auf die Handlungen eines betrügerischen Anbieters irgendwo in der Lieferkette der betroffenen Geräte zurückführt. . TechRadar Pro hat Transsion Holdings um eine Stellungnahme gebeten, das Unternehmen hat jedoch zum jetzigen Zeitpunkt noch nicht geantwortet.