Оказывается, известные производители тоже могут участвовать в мошеннических схемах, нанося своим пользователям большой вред. За таким была замечена китайская компания TCL Corporation, которая выпускает смартфоны под брендами Alcatel и BlackBerry. Оказывается, производитель занимался предустановкой на устройства пользователей вредоносного программного обеспечения.
Странную находку удалось обнаружить специалистам по кибербезопасности, работающим в компании Upstream. Они заметили, что со смартфонов указанных производителей исходит какой-то подозрительный трафик. Как выяснилось впоследствии, этот трафик исходит от приложения для показа погоды. Оно предустанавливается производителем на некоторые модели смартфонов и называется «Weather Forecast-World Weather Accurate Radar». Более того, это приложение находится в свободном доступе в интернет-магазине Google Play, поэтому его могли использовать не только владельцы уже названных смартфонов, но и других мобильных устройств, работающих на операционной системе Android.
Сначала специалисты обратили внимание на то, что приложение не только показывает погоду, но и выполняет другие действия, которые абсолютно не соответствуют его основному функционалу. В ходе подробного изучения кода приложения удалось выяснить, что оно собирает некоторые данные о своих пользователях, в частности, информацию об их местоположении, номера IMEI и адреса используемой электронной почты. Вся эта информация собирается и отправляется на серверы, расположенные в Китае.
Позже специалистам удалось установить, что в разных регионах вредоносный код, встроенный в приложение, действует по-разному. Например, пользователи из Бразилии, Кувейта, Египта, Южной Африки, Туниса и Нигерии рассказывали, что приложение для просмотра прогноза погоды пыталось обманным путем заставить их подписаться на платные сервисы. Всего специалистами было заблокировано более 27 млн попыток. Если бы они все завершились успешно, по пользователям в общей сложности был бы нанесен ущерб в размере 1,5 млн долларов.
Но даже на этом функционал приложения не заканчивался. Сервис также умел выполнять роль рекламного ПО. Он запускал браузер в фоновом режиме, открывал в нем сайты с большим числом рекламных баннеров и кликал на них. Таким образом у пользователей расходовался трафик, причем большинство владельцев смартфонов об этом могли даже не догадываться. В среднем за день приложение могло дополнительно израсходовать минимум 50 Мб и 250 Мб трафика.
Каким именно образом в фирменном приложении появился вредоносный код, пока еще неизвестно. Сама компания TCL Corporation ситуацию пока отказывается комментировать. Тем временем Google уже предпринял все необходимые меры для защиты своих пользователей и удалил вредоносное приложение из своего официального магазина.