Хроники хардеринга системы андроид: поиск конфигурации, устойчивой к целевой атаке

⚠️ Внимание! Статья находится в разработке. Уточнения и дополнения вносятся по мере получения новых данных об устойчивости новых конфигураций безопасности и активности хакера.
Последнее обновление контента: 22.04.2026

Данный материал является прямым дополнением к основной статье:
«Хроники хардеринга системы: поиск конфигурации, устойчивой к целевой атаке».
Здесь описывается опыт с мобильными устройствами под управлением Android, который подтверждает и расширяет выводы, сделанные для десктопных систем.

1. Вводная часть: Android как цель целевой атаки

1.1 Контекст

Атакующая сторона — та же, что и в основной статье: предположительно группа с опытом целевых атак не менее 20 лет, владеющая как технологическими, так и социотехническими методами.

Настоящий раздел фиксирует случай с мобильным устройством, который произошёл до начала систематического хардеринга десктопной системы. Тем не менее, характер взлома и полученный злоумышленником уровень доступа полностью соответствуют модели атаки, описанной в основном документе.

1.2 Роль мобильных устройств в атаке

Из анализа следует, что скомпрометированный Android-смартфон (планшет) может использоваться атакующим как:

средство постоянного аудио- и видеонаблюдения;
канал утечки трафика (включая зашифрованные данные до их отправки);
точка сбора данных с аккаунтов Google и других сервисов.

При этом стандартная заводская конфигурация Android (даже с актуальными обновлениями безопасности) не обеспечивает устойчивости к целевому противнику.

2. Описание Устройство 1 (смартфон)

2.1. Описание устройства 1 (исходная конфигурация)

Смартфон ZTE Blade A522 под управлением Android 7.1.1 — устройство, подвергшееся целевой атаке с получением полного удалённого контроля — **ZTE Blade A522 (Android 7.1.1).** Устройство, подвергшееся целевой атаке с получением полного удалённого контроля.

2.1.1 Характеристики устройства

Параметр	Значение
Модель	ZTE Blade A522
Дата приобретения	Апрель 2019
Состояние на момент покупки	Новое устройство, получало обновления безопасности
Версия Android	7.1.1
Версия ядра	3.18.31-perf
Прошивка модуля связи	P817E53B01
Номер сборки	GEN_CIS_A511_V1.0

2.1.2. Программное окружение и сетевые настройки

Защитное ПО: отсутствовало.
Источники установки приложений: только официальный Google Play.
Аккаунт Google: подключён.
SIM-карта: установлена.
Доступ в интернет: мобильная сеть + Wi-Fi (роутер под контролем пользователя).

2.1.3. Действия пользователя

Устройство использовалось как основной смартфон без каких-либо дополнительных мер безопасности (блокировка загрузчика, кастомное ПЗУ, фаервол, контроль разрешений на уровне системы и т.п.).

2.2. Обнаруженный взлом

2.2.1. Дата обнаружения

Апрель 2020 (примерно через 12 месяцев после начала использования).

2.2.2. Возможности, полученные злоумышленником

В результате удалённого доступа (без физического контакта с устройством) атакующий получил следующие возможности:

Аудио-шпионаж
- Прослушивание всех телефонных разговоров в реальном времени.
- Постоянная активация микрофона в фоновом режиме, даже когда нет активного вызова или системное приложение телефона не запущено.
- Запись звуковой обстановки рядом со смартфоном в любое время.
Видео-шпионаж
Полный удалённый доступ к фронтальной и основной камере — возможность просматривать видеопоток с любой камеры в произвольный момент.
Перехват сетевого трафика
Полная возможность читать весь интернет-трафик устройства (включая трафик приложений, работающих через HTTPS, до его шифрования на уровне приложения или после расшифровки).

2.2.3. Комментарий

Реализованный уровень доступа свидетельствует об эксплуатации одной или нескольких уязвимостей нулевого дня в ядре (3.18.31-perf), прошивке модуля связи или компонентах Android 7.1.1, не закрытых обновлениями безопасности. Полученный контроль эквивалентен полноценному удалённому руткиту.

2.3. Статус и ограничения дальнейшего исследования

⚠️ Механическое повреждение устройства
Впоследствии смартфон получил физические повреждения, сделавшие невозможным его дальнейшее криминалистическое исследование (дампинг прошивки, анализ логов, выявление вектора атаки и следов присутствия злоумышленника).

Таким образом, точный метод проникновения и использованные уязвимости остались неидентифицированными. Однако сам факт получения столь широких возможностей при отсутствии каких-либо защитных мер полностью подтверждает тезис основной статьи:

Стандартная (заводская) конфигурация любого устройства, будь то десктопный Linux или Android, не является устойчивой к целевой атаке профессиональной группы.

3. Устройство 2 (планшет)

3.1. Описание устройства 2 (планшет)

Планшет Lenovo TB-8504X под управлением Android 8.1 — устройство, подвергшееся целевой атаке — **Lenovo TB-8504X (Android 8.1).** Устройство, подвергшееся целевой атаке одновременно со смартфоном ZTE Blade A522.

3.1.1. Характеристики устройства

Параметр	Значение
Модель	Lenovo TB-8504X
Дата приобретения	Апрель 2019 (одновременно со смартфоном ZTE Blade A522)
Версия Android	8.1.0
Версия программного обеспечения	TB-8504X_RF01_170520
Номер сборки	TB-8504X_S001031_191204_ROW
Версия ядра	3.18.71
Прошивка модуля связи	S.JO.3.0-00448-8937_GENNS_PACK-1
Последнее обновление системы безопасности	5 ноября 2019 г.

3.1.2. Исходное состояние и обнаружение атаки

На момент приобретения планшет находился в новой конфигурации, получал обновления безопасности (последнее — ноябрь 2019 года). Средства защиты (фаерволы, антивирусы, контроль разрешений) установлены не были.

Атака хакера обнаружена в апреле 2020 года — одновременно со взломом смартфона ZTE Blade A522.

3.1.3. Принятые меры защиты (текущая конфигурация)

(В 2021-2024 устройство не использовалось, было постоянно отключено с периодической подзарядкой аккумулятора да 90%. Изучение проблемы хакинга устройства начато в марте 2025.)

NetGuard — межсетевой экран уровня приложений (без root).
Постоянная VPN для NetGuard — включена (локальный VPN-сервис для фильтрации трафика).
Блокировать соединения без VPN — отключено.
- При включении данного параметра интернет-соединение полностью отсутствовало, в том числе у разрешённых в NetGuard приложений.
Разрешения сетевого доступа:
- Всем системным приложениям, отображаемым в NetGuard, выход в интернет запрещён (заблокировано 190 приложений).
- Разрешены только 6 приложений:
  - VpnDialogs (необходим для работы NetGuard)
  - Aurora Store (альтернативный клиент Google Play)
  - F-Droid (репозиторий свободного ПО)
  - LibreTube (клиент для просмотра видео)
  - Via (быстрый браузер)
  - Shelter (изоляция приложений — отключён, включается редко)
Google Аккаунт: не добавлен (предыдущий аккаунт удалён).
SIM-карта: установлена, однако пакет услуг оператора не подключен. Планшет использует только Wi-Fi.
Сетевое окружение: устройство не покидает пределов дома (радиус действия Wi-Fi роутера), подключение только через доверенную домашнюю сеть.

3.2. Текущие возможности атакующего (при конфигурации с NetGuard)

Несмотря на применённые меры, хакер сохраняет следующие возможности:

Чтение текстовых файлов, созданных и сохранённых в редакторе QuickEdit.
Чтение диалогов с ИИ (ChatGPT, DeepSeek) в авторизованной веб-версии интерфейса в браузере Fennec.
Чтение сообщений в чатах приложения Lumia.

3.3. Изменения после установки NetGuard

До установки NetGuard атакующий имел возможность удалённого подключения к микрофону и камере.
После установки NetGuard данные, указывающие на подключение к камере или микрофону, отсутствуют.

Предположительно, NetGuard заблокировал сетевые порты или сервисы, используемые для захвата мультимедийных потоков, однако уязвимости, позволяющие читать файлы и перехватывать текст чатов, остались не перекрытыми.

3.4. Статус исследования и приоритеты

⚠️ Ограничение по времени и приоритетам
Из-за ограниченности доступного времени приоритетным направлением остаётся исследование атаки на основной персональный компьютер. Анализ атаки на планшет носит вторичный характер.

Продолжается наблюдение за активностью хакера в отношении планшета. При получении новых данных конфигурация будет пересмотрена, а меры защиты усилены.

Последнее обновление данных: 23 апреля 2026 г.

↑ Вернуться в начало страницы

Связанные страницы:

Хроники хардеринга системы: поиск конфигурации, устойчивой к целевой атаке (основная статья) — Реальная хроника противостояния целевой атаке: документирование уязвимостей, конфигураций, реакций и хардеринга системы. От нулевой защиты к поиску устойчивых конфигураций. Технический отчет с анализом аппаратной части, ОС, AppArmor, nftables, OpenSnitch, Flatpak, USBGuard. Для специалистов по кибербезопасности и ИБ.

Целевые кибератаки на пользователей — как защитить свою Linux-систему — Меры кибербезопасности против целевых атак, основанные на опыте автора. Русская версия английской статьи на DebianWiki.

Анализ предполагаемой целевой комплексной атаки — Описание предполагаемой сложной таргетированной атаки.

Психологическое подавление человека силовыми структурами при помощи эффекта неверия — разбор природы эффекта неверия, механизмов давления, последствий и практических рекомендаций.

Ригидность ожиданий в анализе угроз — Проблема ригидности ожиданий при анализе угроз в кибербезопасности: почему опытный злоумышленник действует нестандартно (неочевидно).

От науки к мироосознанию: логика как опора против заблуждений — эссе о рациональности, осознанности и опасности «интуиции без критики».

Три вида интеллекта и их роль в устойчивости личности — аналитическое эссе о когнитивном, этическом и эмоциональном интеллекте как основе для целостного и устойчивого сознания.

Информационная и поведенческая гигиена работы с ПК — Базовое практическое руководство по цифровой, поведенческой и информационной гигиене для пользователей персональных компьютеров.

Диалектический закон и миф об «интуитивном прозрении» — философский анализ природы вдохновения и критического мышления.

Законы устойчивости: эссе о выживании систем — Это эссе формулирует законы выживания систем: приоритет технологии и логистики над идеологией, компетентности над культурными барьерами, а управления и эффективности — над ресурсами и эффектностью. Текст о переходе от иллюзий к жесткой дисциплине результата.