Исследователи мобильной безопасности из Quokka выявили ряд критических проблем в цифровых фоторамках на платформе Uhale (экосистема ZEASN, ныне Whale TV). Часть моделей после включения автоматически загружает и исполняет вредоносные компоненты, что превращает бытовые гаджеты в площадку для ботнетов и дальнейших атак на сети.
Как работает атака: вредоносное обновление приложения Uhale
По данным Quokka, при первом запуске многие фоторамки с Android проверяют наличие обновления приложения Uhale, скачивают и устанавливают релиз версия 4.2.0, после чего перезагружаются. Обновлённое приложение инициирует загрузку полезной нагрузки с китайских серверов и запускает её во время загрузки системы.
Загружаемый модуль в формате JAR/DEX сохраняется в каталоге приложения Uhale и подхватывается при каждом последующем старте устройства, обеспечивая устойчивое закрепление вредоносного кода без участия пользователя.
Связь с ботнетом Vo1d и семейством Mzmess
Анализ артефактов показал перекрёстные признаки, указывающие на связь с ботнетом Vo1d (насчитывающим миллионы скомпрометированных устройств) и малварью Mzmess. Об этом свидетельствуют префиксы пакетов, схожие строки и названия, сетевые эндпоинты, а также единый процесс доставки и исполнения вредоносных модулей.
Компрометация или умышленная модификация?
Почему именно версия 4.2.0 стала триггером заражения, остаётся неясным: речь может идти о компрометации инфраструктуры обновлений ZEASN/Whale TV или о внедрении на этапе сборки. В мае 2025 года исследователи попытались уведомить производителя, однако, по их словам, ответа не получили.
17 уязвимостей, слабая криптография и следы Adups
Помимо автоматической загрузки малвари, Quokka описала 17 уязвимостей (из них 11 уже получили идентификаторы CVE). Среди обнаруженного: жёстко закодированный AES-ключ для расшифровки ответов sdkbin, использование слабых криптографических паттернов и дополнительных жёстко закодированных ключей.
Часть устройств содержала компоненты обновления Adups и набор устаревших библиотек. Исторически сторонние OTA-компоненты и легаси-зависимости в IoT часто приводят к проблемам с контролем целостности и проверкой подписи обновлений, повышая риск внедрения вредоносного кода через цепочку поставок.
Масштаб воздействия и сложность учёта
Оценить общее число пострадавших сложно: фоторамки на Uhale продаются под множеством брендов, и платформа не всегда явно указана. Косвенные метрики говорят о значимом охвате: приложение Uhale в Google Play скачали более 500 000 раз, в App Store — свыше 11 000 отзывов, а модели на Amazon суммарно набрали порядка 1000 отзывов. Для отрасли IoT такой «white-label»-подход затрудняет инвентаризацию и своевременную реакцию на инциденты.
Чем это грозит пользователям и организациям
Заражённые фоторамки могут пополнять ботнеты для DDoS, выступать в роли проксей или заниматься кликфродом. Хотя объём данных на самом устройстве ограничен, наличие доступа в локальную сеть создаёт риск дальнейшего продвижения атакующего внутри периметра. Для офиса или дома это означает повышенную вероятность компрометации других устройств и сервисов.
Практические меры снижения рисков
Рекомендуется: изолировать умные гаджеты в отдельных VLAN или гостевых сетях; ограничить исходящие соединения детектируемых фоторамок; при возможности отключить автообновления и проверить версию приложения Uhale (избегать 4.2.0); мониторить сетевой трафик на предмет аномалий; по возможности проводить первичную настройку офлайн. Организациям стоит внедрить контроль закупок IoT, требовать сертификаты безопасности, проверку подписей OTA и поддержку официальных сборок Android с Google Play Protect.
История с Uhale подчёркивает системный риск цепочки поставок в IoT: универсальные платформы, множество брендов и непрозрачные обновления создают условия для масштабных компрометаций. Пользователям стоит переоценить доверие к «безобидным» гаджетам, провести инвентаризацию умных устройств в сети и следить за публикациями Quokka и новыми CVE. Давление на вендоров с требованием прозрачности обновлений и криптографической дисциплины — лучший шаг к снижению подобных инцидентов.
