В некоторых моделях смартфонов Alcatel нашли малварь
Безопасность Android
Специалисты британской ИБ-компании Upstream обратили внимание на подозрительный трафик, исходящий со смартфонов некоторых клиентов.

Проведенное расследование выявило, что дело в приложении Weather Forecast-World Weather Accurate Radar, созданном китайской TLC Corporation, которой принадлежат такие бренды, как Alcatel, BlackBerry и Palm.

Данное приложение с прогнозом погоды предустановленно на смартфонах Alcatel «из коробки» (в частности на моделях Pixi 4 и A3 Max), а также было доступно другим пользователям Android через каталог Google Play, причем число его загрузок превышало 5 000 000.

Изначально эксперты обнаружили, что приложение собирает данные о пользователях (email-адреса, коды IMEI, данные о геолокации) и передает их в Китай. Потом выяснилось, что этим дело не ограничивается, и скрытый в приложении вредоносный код действует иначе в некоторых регионах. Так, в Бразилии, Кувейте, Нигерии, Южной Африке, Египте и Тунисе приложение пыталось тайно подписать пользователей на различные платные сервисы.

Исследователи пишут, что только за период с июля по август 2018 года было зафиксировано и  блокировано более 2,5 млн попыток осуществления транзакций с устройств Alcatel в Бразилии. На неназванный платный сервис пытались подписаться с 128 845 уникальных мобильных номеров. В Кувейте за тот же период времени было обнаружено и блокировано 78 940 транзакций.

В общей сложности специалисты Upstream зафиксировали и блокировали более 27 000 000 попыток подписаться на платные сервисы, что в общей сложности могло бы обойтись пострадавшим в 1 500 000 долларов США.

Кроме того, Weather Forecast-World Weather Accurate Radar демонстрировало и другое вредоносное поведение: приложение действовало как adware, в фоновом режиме открывало скрытые окна браузера и загружало различные веб-страницы, на которых скликивало рекламные объявления. Эта скрытая активность генерировала 50-250 Мб трафика ежедневно, что тоже могло негативно отразиться за кошельках владельцев зараженных устройств.

В настоящее время специалисты Google уже исключили опасное приложение из Google Play. Судя по всему, источником заражения стал один из разработчиков TLC Corporation, чья система была скомпрометирована, и в результате малварь проникла в код приложения. Официальных комментариев от представителей TLC Corporation пока не поступало.