Onderzoekers van het beveiligingsbedrijf AnubisNetworks hebben software van het Chinese bedrijf Ragentek op minstens 2,8 miljoen Android-toestellen gevonden, waarmee kwaadwillenden op afstand willekeurige code kunnen uitvoeren. Het gaat voornamelijk om toestellen van BLU.
De onderzoekers schrijven dat dit komt door een onveilige implementatie van een ota-mechanisme, waardoor het updateproces via een onbeveiligde internetverbinding verloopt. De kwetsbare toestellen proberen bovendien verbinding te maken met drie verschillende domeinen, waarvan er maar één domein is geregistreerd. Door zelf de overige twee domeinen te registreren, kregen de onderzoekers inzicht in het aantal getroffen toestellen. Zij schrijven dat een willekeurige kwaadwillende partij hetzelfde had kunnen doen en daardoor volledige toegang zou hebben tot de toestellen. Doordat het updateproces onbeveiligd is, zijn de toestellen nog steeds kwetsbaar voor man-in-the-middle-aanvallen.
In de blogpost identificeert het beveiligingsbedrijf in totaal 55 verschillende getroffen toestellen. Daarvan zijn 26,3 procent van de fabrikant BLU. Andere getroffen merken zijn Infinix, Doogee, Leagoo en Xolo. Er is een lijst met meer details over de getroffen toestellen beschikbaar. De onderzoekers zeiden tegen Ars Technica dat de meeste gebruikers van deze toestellen uit de Verenigde Staten komen. Dit stelden zij vast aan de hand van het verkeer naar de geregistreerde domeinen. De toestellen zouden over de hele wereld in gebruik zijn.
Zij voegen daaraan toe dat de software van Ragentek 'veel moeite doet' om zichzelf te verbergen en dat de software is aangepast om het te doen voorkomen alsof deze niet bestaat. Toch gaan zij er niet van uit dat het om een opzettelijk ontwikkelde rootkit gaat, maar om een legitiem updateproces. Zij hebben geen contact kunnen leggen met Ragentek of andere fabrikanten. Fabrikant BLU is de enige die tot dusver met een patch wil komen, blijkt uit de informatie op cert.org.
De onderzoekers benadrukken dat hun bevindingen losstaan van een soortgelijke ontdekking, waarover de New York Times deze week berichtte. Het beveiligingsbedrijf Kryptowire had vastgesteld dat er op toestellen van fabrikant BLU software van het Chinese bedrijf Adups Technology aanwezig is. Deze stuurde gevoelige gegevens, waaronder contacten, sms-berichten en de gespreksgeschiedenis, naar servers van derden. De Chinese onderneming kwam later met een verklaring, waarin het stelde dat de gegevens werden verzameld om de juiste updates naar de toestellen te sturen en spam tegen te gaan.