About Teletype
Join
@redterror
November 26, 2018

Апдейт с сюрпризом. Как производители Android-смартфонов впаривают тебе софт в составе обновлений.

Шалом, бегущие в тенях! Привет, случайный подписчик. «Программа-фонарик ворует данные кредитных карт!», «Вирус маскируется под менструальный календарик!». Приходилось видеть такие заголовки? Общеизвестно, что чаще всего мобильные вредоносы ставят на девайсы сами пользователи. Но ты-то, дорогой читатель, пользуешься прошивкой от проверенного производителя, официальным маркетом и надежным антивирусом и полагаешь, что у вендоров все под контролем? Не тут-то было.

Поехали:

Началось все хорошо

Когда мне понадобилось приобрести новый телефон, из всего, что имеется на рынке, я выбрал ASUS ZenFone Max Pro M1 — не в последнюю очередь соблазнившись обещаниями получить «почти чистый андроид» (ох уж это «почти»). И действительно получил минимум шлака и только то, что необходимо (опять «почти»). Из стороннего успел добавить только Firefox, ColorNote и Kaspersky Internet Security.

Но что-то пошло не так

Накатив обновление прошивки штатными (штатными, Карл!) средствами системы, я с неудовольствием обнаружил новое приложение под названием BLITZ installer с пиктограммкой, легко соотносимой с Wargaming. «Вот же блин, все-таки вкрячили очередное…» — подумал я, но не особо удивился, потому что, например, в свое время на планшете от фирмы Sony у меня «из коробки» была не одна «свистулька», а целый пучок. Вынести ЭТО из системы через меню и маркет не получалось (системное приложение, вот же ж!), но выключить можно — спасибо Google. Прочих пользователей все это, видимо, не сильно парило — я нашел в интернетах всего одну жалобу, да и то не жалобу, а так, ворчание.

Я написал не очень, признаться, вежливое, с рядом рискованных оборотов, письмо в техподдержку ASUS. Пусть, дескать, знают, что не всем нравится, когда у них на телефоне в добровольно-принудительном порядке устанавливается всякий мусор. Понятное дело, я даже не думал, что ASUS будет выпиливать что-либо в угоду одному-единственному пользователю. Open source же и невидимая рука рынка. Не угодил этот производитель — «голосуй ногами», покупай у другого. Не нашел другого — скачай исходники AOSP и собери собственную прошивку. Полная свобода, короче. Посмотрим правде в глаза: я даже не надеялся на то, что ASUS мне ответит. Однако он ответил, и ответ этот меня не порадовал:

Информируем, что приложение BLITZ installer не поставляется вместе с файлом прошивки обновления. Насколько нам известно, это приложение связано с игрой World of Tanks. Проверьте, пожалуйста, не устанавливали ли Вы какие-либо игры (возможно, сторонние приложения) в ближайшее время, поскольку данное приложение могло загрузиться дополнительно с каким-то приложением. Если же нет — попробуйте проверить операционную систему устройства антивирусным приложением, на предмет наличия вредоносных файлов-источников / незащищенных путей в браузере, почтовых приложениях и так далее, через которые данное «чудо» могло загрузиться.

Что-то точно не так!

Kaspersky Internet Security ничего подозрительного на телефоне не нашел, о чем я сразу же написал в техподдержку ASUS.

Спасибо за предоставленную информацию. <…> Что касается приложения BLITZ, вероятно, антивирусное приложение не видит угроз, поскольку идентифицирует его не как вирусное приложение, а как часть системы.

Таков был ответ. «Ну что ж, тут работа для Супермена вирусного аналитика», — подумал я. Есть же, в конце концов, Та Самая Лаборатория Касперского, которая «Ловим вирусы, исследуем угрозы, спасаем мир».

Загрузите и установите из Google Play файловый менеджер Astro… С помощью данного приложения сохраните резервную копию приложения XXXXXXXXXXX… Созданный файл, пожалуйста, скопируйте на ПК, заархивируйте и пришлите нам для анализа.

Так (довольно оперативно) ответила на мой запрос Лаборатория Касперского. Одна беда: файловый менеджер Astro в упор не видел подозреваемого приложения.

Уважаемый пользователь, если файловый менеджер Astro не отображает приложение BLITZ installer, то это означает, что оно является системным и не может быть извлечено.

И в заключение ожидаемо порекомендовали перепрошить устройство. Давай, как говорится, до свидания. Ну да, скажете вы, а ты думал, что по первому зову на твою крышу высадится верхом на дронах десант вирусных аналитиков с макбуками наперевес?

 Тыжпрограммист

К счастью, ADB еще никто не отменял.

  1. Включаем на телефоне режим разработчика, семь раз подряд нажав на номер сборки в настройках, в меню разработчика включаем отладку по USB.
  2. Подключаем телефон к компу по USB. Думаю, читателю не нужно объяснять, что на компе должны быть установлены Linux (желательно) и ADB (обязательно). Набираем в консоли adb shell.
  3. pm list packages выводит список установленных пакетов, в котором мы находим нечто с говорящим именем net.wargaming.showcase.wotb.asus.
  4. pm enable net.wargaming.showcase.wotb.asus позволяет «включить» приложение, но вот pm disable net.wargaming.showcase.wotb.asus почему-то вылетает с ошибкой. Ладно, мы и через графический интерфейс до него можем дотянуться, чтобы выключить.
  5. pm dump net.wargaming.showcase.wotb.asus дает нам много интересной информации о пакете, в частности о том, что он находится в APK-файле /system/app/asus/asus.apk. Просто посмотреть путь к файлу можно еще командой pm path net.wargaming.showcase.wotb.asus.
  6. Выходим из сеанса ADB командой exit, делаем adb pull /system/app/asus/asus.apk, чтобы забрать с телефона файл с «подозреваемым».

Делов-то. Остается только заархивировать собранные первичные данные (вывод команды pm dump и *.apk-файл) и отослать доброму доктору Айболиту аналитикам из Лаборатории Касперского.

Благодарим за описание! Мы как антивирусный вендор заинтересованы в корректной работе наших продуктов. Но файл, который добавлен в прошивку, не является вредоносным, именно поэтому наш продукт его и не детектирует.

 Запорожцы пишут письмо

Для очистки совести я написал опять же не очень вежливое письмо в техподдержку Wargaming. Ага, скажете вы, ты бы еще колумбийскому наркобарону прислал предъяву, что у тебя возле дома продают плохой порошок. Не нравится — не употребляй. Как ни странно, Wargaming все же откликнулся:

По всем вопросам работы ПО «Blitz Installer» рекомендуем Вам обращаться в службу поддержки компании ASUS. Данное ПО является предустановленным, то есть входит в комплект поставки для Вашей модели телефона.

Но позвольте, а как же ASUS, они же клянутся, что они не при делах?

Не могли бы Вы предоставить скриншот ответа службы поддержки компании ASUS?

Ну да, действительно, куда же без скриншота, причем нотариальное заверение, видимо, не требуется, но приветствуется.

 Круг замкнулся

Подведем итоги: антивирусный вендор не проверяет предустановленное ПО, Wargaming не отвечает за то, какие производители включают инсталляторы их поделок в состав предустановленного системного (системного, Карл!) ПО, а техподдержка производителя (внезапно) вообще понятия не имеет, что там у них по��апихано в прошивку. И ладно бы речь шла о каком-нибудь китайском noname бренде, но ASUS, ASUS, Карл! Сегодня у них в прошивку просочился инсталлятор «танчиков», а завтра… Так что будь осторожен, киберсталкер, береги себя и свой девайс.

@redterror
November 26, 2018, 17:17
0 reactions
0 views