Ricordo il caso in cui avevo acquistato due telefoni Android più economici da un venditore eBay.
I due telefoni sono stati imballati in fabbrica per quanto ho potuto vedere, presi direttamente dalla fabbrica in Cina e spediti direttamente a me. Ho scoperto che non era affatto il caso.
Circa 12-14 giorni dopo l'acquisto, ho notato che il browser web apriva una pagina pubblicitaria una volta ogni tanto. All'inizio, però, pensavo che si trattasse di un addon rouge o qualcosa del genere, ma non era così. È arrivato al punto che le app casuali sarebbero state installate sul telefono senza alcun preavviso o consenso.
In effetti il caso era che l'app YouTube è stata sostituita da un clone che ha aggiornato e mantenuto in silenzio un'altra app rouge in esecuzione in background. C'era una bomba logica in questa app rouge (sembrava essere una "autentica" app preparata dalla fabbrica di lenovo) che avrebbe funzionato 12-14 giorni dopo il reset di fabbrica.
Non c'era nessun livello utente o rootkit a livello di kernel coinvolto qui. Sembra essere piuttosto difficile da fare, o almeno nasconderlo, perché le recenti versioni di Android verificano il dispositivo a livello di file system con hashing su blocchi di dati. Una versione precedente della pagina sorgente di Android ha fatto riferimento a questo, ma non riesco più a trovarlo. Ho aggiunto un link qui sotto per chi fosse interessato.
link
Nel mio caso, ho trovato una ROM alternativa per il flash, ma questo includeva ancora le app Rouge. Alla fine, ho usato la nuova ROM e rimosso manualmente le app rouge con ADB e alcuni altri strumenti (ADB non sicuri e KingoRoot).
Le lezioni che ho imparato da questo includono:
- L'autenticità fisica non si traduce in autenticità virtuale
- La modifica della "ROM" per Android può essere relativamente facile da fare
- I telefoni con chipset MediaTek semplificano ulteriormente questo processo
- Gli IMEI sono abbastanza facili da cambiare sui chipset MediaTek
- ADB (dagli Strumenti per sviluppatori di Google) è l'unico modo per rimuovere efficacemente il malware basato su ROM
- ADB non sicuro consente l'accesso al PC dell'utente root di un dispositivo
- Anche l'origine di installazione dell'app rouge deve essere rimossa per una correzione permanente.
- La verifica dell'app di Google non sembra eseguire la scansione delle app installate in fabbrica.
- Rimuovere le app di rouge a mano è un processo lungo.