В умных часах для детей найдено приложение с функциями трояна

Татьяна Никитина 02 Ноября 2021 - 15:19

Домашние пользователи

...

Специалисты «Доктор Веб» выявили потенциальные риски, связанные с использованием умных часов для детей. Изучение популярных в России моделей показало, что некоторые из них используют легко угадываемый пароль, другие отправляют данные на свой сервер без шифрования, а в одних смарт-часах был обнаружен предустановленный троян.

В качестве объектов исследования были взяты четыре модели детских часов: Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite и Smart Baby Watch Q19. Эксперты купили их анонимно в российском интернет-магазине и провели статический и динамический анализ, поискали возможные закладки, недокументированные функции, а также проверили данные, передаваемые в Сеть, и их защищенность.

Самой опасной находкой оказался скрытый троян в смарт-часах Kidphone 4G от Elari, работающих под управлением Android. Встроенное приложение предназначено для автоматического обновления «по воздуху» (OTA), однако оказалось, что оно злоупотребляет функциями даунлоудера.

При каждом включении часов или изменении сетевого подключения этот код запускает два вредоносных модуля; каждый из них отправляет на свой сервер информацию об устройстве, СИМ-карте, активности и контактах пользователя. Список возвращаемых команд включает загрузку, установку, запуск и удаление приложений, а также загрузку заданных веб-страниц. Такую закладку, по словам экспертов, можно использовать для шпионажа, показа рекламы и установки зловредных программ.

В остальных моделях таких угроз не выявлено. Две из них используют для отправки управляющих команд по СМС дефолтный пароль 123456; в случае с Wokka Lokka Q50 информацию о такой возможности управления и способе смены пароля трудно найти. Зная номер телефона ребенка, злоумышленник сможет без особого труда изменить адрес управляющего сервера и получить доступ ко всем собираемым данным, а также сменить пароль и захватить контроль над устройством.

В смарт-часах FixiTime Lite производства Elari потенциальную опасность представляют передача данных в незашифрованном виде и вшитый пароль для передачи данных телеметрии (по протоколу MQTT). Производители названных моделей уже уведомлены о найденных проблемах.

К сожалению, разные модели умных часов зачастую используют схожие прошивки и ПО, поэтому выборку «Доктор Веб» можно считать репрезентативной. По результатам исследования аналитики заключили, что безопасность детских смарт-часов «находится на весьма неудовлетворительном уровне».

Напомним, в Германии четыре года назад был введен запрет на использование смарт-часов для детей из-за уязвимости таких гаджетов к взлому и широких возможностей для шпионажа. А в прошлом году в детских Android-часах производства Xplora был обнаружен бэкдор, умеющий делать снимки экрана и записывать телефонные разговоры.

Следующая главная новость »

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!

Екатерина Быстрова 25 Февраля 2026 - 13:01

Android Трояны Домашние пользователи

Новый Android-троян с ИИ и вымогателем крадёт данные и блокирует устройства

В киберпреступных телеграм-каналах активно продаётся Android-вредонос SURXRAT — полноценный троян для удалённого доступа, работающий по модели «зловред как услуга». Проект развивается, масштабируется через партнёрскую сеть и уже обзавёлся экспериментальными ИИ-модулями.

О новой версии (SURXRAT V5) рассказали аналитики Cyble Research and Intelligence Labs (CRIL).

По их данным, оператор из Индонезии запустил телеграм-канал ещё в конце 2024 года и выстроил вокруг зловреда целую «бизнес-модель» с тарифами Reseller и Partner.

Покупатели могут генерировать собственные сборки, а центральная инфраструктура при этом остаётся под контролем разработчика. В рекламе сервиса упоминается более 1300 зарегистрированных аккаунтов — масштаб уже далеко не кустарный.

Технически SURXRAT — это многофункциональная платформа для слежки и контроля устройства. После установки зловред запрашивает широкий набор разрешений и задействует Accessibility Services, чтобы закрепиться в системе и работать практически незаметно для пользователя.

Он собирает СМС-сообщения, контакты, журналы вызовов, данные Gmail, сведения об устройстве и местоположении, Wi-Fi и сотовые данные, уведомления, содержимое буфера обмена, историю браузера и файлы. Такой объём телеметрии позволяет перехватывать одноразовые коды (OTP), красть учётные данные и готовить финансовые атаки.

Кроме кражи данных, SURXRAT умеет активно управлять устройством: совершать звонки, отправлять СМС, открывать ссылки, воспроизводить аудио, менять обои, включать вибрацию и фонарик, блокировать и разблокировать смартфон, а также стирать данные. В арсенале есть и локер дисплея в стиле вымогателей: с сообщением и ПИН-кодом от злоумышленника.

Связь с командным сервером строится через Firebase Realtime Database, что маскирует вредоносный трафик под легитимные облачные сервисы Google и усложняет обнаружение. Заражённое устройство регистрируется с уникальным UUID и в режиме реального времени получает команды и отправляет данные.

Интересная деталь: в коде обнаружены отсылки к ArsinkRAT, а функциональное сходство указывает на то, что SURXRAT может быть эволюцией этой семьи. Это типичный подход — не писать всё с нуля, а развивать уже готовую платформу.

Самый необычный элемент последних сборок — возможность условной загрузки огромного LLM-модуля (более 23 ГБ) с Hugging Face. Загрузка активируется при запуске определённых игровых приложений или по команде с сервера.

Аналитики предполагают, что такой модуль может использоваться для намеренного замедления устройства (например, во время игры), маскировки вредоносной активности или в будущем — для автоматизированной социальной инженерии и адаптивного обхода защит.

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!