Micromax Instalación remota de aplicaciones no deseadas en dispositivos

En el pasado reciente, fuimos testigos de algunos actos de fabricantes de equipos originales que se metían con los dispositivos para lograr varios objetivos, como el aumento de los resultados de referencia. También escuchamos acerca de fabricantes y operadores que agregan software de rastreo a sus dispositivos, para recopilar datos sobre el rendimiento del dispositivo, estadísticas sobre la conectividad de voz y datos entre el dispositivo y las torres de radio, o incluso datos de tiempo de ejecución de la batería (CarrierIQ, ¿está escuchando?) . Hoy, sin embargo, llegan informes de que los usuarios de ciertos dispositivos del fabricante indio de teléfonos Micromax notaron que las aplicaciones se instalan en silencio sin su consentimiento o permiso.

Parece que incluso desinstalar estas aplicaciones no ayudará, ya que poco después, simplemente volverán a aparecer. Obviamente, esto está mal en muchos niveles, pero me gustaría señalar algunos problemas clave aquí de todos modos:

  • No tener control sobre qué aplicaciones están instaladas en su dispositivo plantea un gran riesgo de seguridad, ya que no puede verificar los permisos de las aplicaciones y no tiene idea de si estas aplicaciones son realmente las aplicaciones originales (o potencialmente modificadas de forma maliciosa camino)
  • Los dispositivos Micromax no tienden a ser el extremo más alto que pueda encontrar, por lo que el espacio de almacenamiento todavía se considera un lujo (con un total de 4 GB) y tener el almacenamiento del dispositivo lleno de aplicaciones aleatorias ciertamente no es el mejor uso de ese espacio precioso
  • Las descargas también se producen cuando se utiliza una red móvil, por lo que sus costosos datos de alta velocidad se reducirán significativamente si su teléfono intenta constantemente descargar aplicaciones que ni siquiera desea tener

Si bien estas prácticas ya suenan terriblemente mal por sí mismas, desafortunadamente no terminan ahí. Además de descargar aplicaciones, estos dispositivos también parecen mostrar anuncios en la barra de notificaciones de vez en cuando. Un usuario de reddit informa que se muestran 8-10 anuncios a la vez y al buscar la aplicación responsable de estas notificaciones perturbadoras, se le presenta una aplicación del sistema llamada "Actualización de software".

Entonces, en este punto, ciertamente parece que Micromax agregó un software personalizado que instala aplicaciones de forma remota y envía anuncios a los dispositivos de los usuarios. Pero no estaríamos aquí en Developers si nos detuviéramos a asumir cosas y simplemente contarle la historia de alguien que reclama cosas en Internet. Por lo tanto, decidimos derribar dicha aplicación y echar un vistazo a lo que hay dentro.

La evidencia

Al comenzar a eliminar la aplicación (que en realidad se llama FWUpgrade.apk en su sistema de archivos), lo primero que nota es que es una aplicación de terceros. Una compañía china llamada Adups lo desarrolló como un reemplazo para el servicio de Google OTA. Aparentemente, Micromax decidió usarlo en lugar del stock. El primer obstáculo que debe tomar para un análisis posterior es la ofuscación de nivel de código de byte, y la mayoría de las fuentes no son un placer para leer. Sin embargo, si sabe lo que está buscando, la aplicación no puede ocultar su verdadera naturaleza. La evidencia presentada aquí comienza con un poco de código que muestra las capacidades potenciales de esta aplicación y se cierra con algo aún más interesante.

Comencemos con las aplicaciones silenciosamente instaladas. Para hacerlo desde otra aplicación, debe utilizar la API de PackageManager de Android directamente o emitir los comandos de instalación desde un shell. El segundo caso es cierto aquí, como lo muestran las siguientes piezas de código (nota: este es un código Java simplificado, el código real se ve un poco diferente debido a la ofuscación):

StringBuilder sb = new StringBuilder (“pm install -r“);

Cadena cmd = sb.toString ();

Aquí puede ver un StringBuilder recién creado que contiene el comando pm install, seguido de s2, que en este caso es una variable de cadena que contiene una ruta del sistema de archivos a un archivo apk descargado. La cadena terminada se pasa a un nuevo método haciendo algo como esto:

ProcessBuilder processbuilder = nuevo ProcessBuilder (cmd);

Proceso proceso = processbuilder.start ();

Aquí puede ver que la cadena con el comando de shell se usa para iniciar un proceso que ejecuta dicho comando y, de hecho, instala silenciosamente el archivo apk. En este punto, podemos estar bastante seguros de que el servicio de verificación de OTA en las ROM de Micromax no solo puede descargar y flashear las OTA del sistema, sino que también tiene la capacidad de instalar aplicaciones silenciosamente. Esto en sí mismo no significa demasiado, ya que no es necesariamente algo malo, pero hay más por venir.

Dentro de la aplicación encontré algunas referencias al sitio web de la compañía, incluido uno que tiene una extensa lista de características. ¿Vamos a echar un vistazo a la parte más interesante?

Ahí lo tienes, en las propias palabras de la compañía. Servicio de inserción de aplicaciones. Minería de datos del dispositivo. La publicidad móvil. Eso coincide bastante bien con el informe inicial de reddit, ¿no te parece? Entonces, el malo aquí es de hecho Micromax, ya que estas son características oficiales de la aplicación de Adups, y es más que probable que Micromax obtenga ingresos de las instalaciones forzadas de aplicaciones y los anuncios de notificación. También eligieron ir con este proveedor y no usar sus propios servidores junto con el servicio OTA de acciones de Google, por lo que eran plenamente conscientes del impacto que esto tendría en sus usuarios.

La solución temporal

Entonces, ahora que sabemos que estos informes desafortunados eran ciertos, hablemos sobre cómo deshacerse de esta "funcionalidad". El primer paso para deshabilitar dichas funciones, sería dirigirse a la configuración de la aplicación de los dispositivos para deshabilitar la aplicación del sistema no autorizado. Sin embargo, esto no es posible en este caso, ya que Android permite a los OEM desactivar el botón de desactivación para ciertas aplicaciones. Pero no tema, tenemos una solución disponible y le diremos cómo deshabilitar el código malicioso.

1. Rootear su dispositivo

El primer y más importante paso es rootear su dispositivo. Un dispositivo rooteado le permite hacer mucho más de lo que permitiría su teléfono estándar, y es un paso crítico en todas las modificaciones del sistema. Dado que hay bastantes dispositivos Micromax diferentes, no voy a vincular a ningún exploits raíz específico en este artículo. En cambio, dirígete a: India y busca un exploit raíz o una guía para tu dispositivo. Asegúrese de leer todo a fondo y siga las instrucciones con precisión para no dañar su dispositivo en el proceso. También tenga en cuenta que esto probablemente anulará su garantía.

2. Obtenga ADB configurado

Para continuar, necesitará tener una conexión ADB que funcione con su dispositivo. Hay muchas guías sobre ese detalle sobre cómo lograr exactamente esto, pero para empezar, aquí hay una guía bastante actualizada sobre cómo descargar los archivos binarios necesarios y cómo establecer una conexión a su dispositivo.

3. Deshabilite la aplicación de Actualización de software

Ahora que ha obtenido acceso de root y ADB está en funcionamiento, puede continuar deshabilitando la temida aplicación responsable de las instalaciones silenciosas y los anuncios no deseados. Todo lo que necesita hacer ahora es iniciar un símbolo del sistema, asegurarse de que esté en el directorio de su archivo binario ADB y ejecutar el siguiente comando:

adb shell pm deshabilitar com.adups.fota

Puede leer más sobre el uso de este comando en este tutorial sobre cómo deshabilitar aplicaciones con acceso root. Tenga en cuenta que este proceso eliminará la capacidad de su dispositivo para buscar actualizaciones de software y podría generar un error al intentar abrir la sección Actualización del teléfono en la configuración. En caso de que necesite recuperar la aplicación (por ejemplo, cuando una nueva actualización esté lista), puede habilitarla nuevamente con este comando:

adb shell pm enable com.adups.fota

La recapitulación

Es lamentable haber aprendido que Micromax es realmente responsable de las instalaciones de aplicaciones no deseadas. Esperamos que el tutorial anterior sobre cómo deshabilitar la aplicación con sombra le ahorrará un poco de dolor de cabeza al tratar con aplicaciones y anuncios aleatorios. Obviamente, todo esto no impedirá que Micromax continúe con estas prácticas sospechosas, pero tal vez considerará otro OEM para la próxima compra de su dispositivo.