Nicolai Busekist
Et sikkerhedsfirma har slået alarm, da en række Android-enheder inficerer sig selv med malware.
IT-sikkerhedsvirksomheden Quokka slår alarm over Android-billedrammer fra Uhale, da nogle af disse produkter inficerer sig selv med malware, hver gang de tændes.
Digitale billedrammer af mærket Uhale, som er baseret på Android, har alvorlige sikkerhedsproblemer – herunder automatisk download og afvikling af malware ved opstart.
Sikkerhedsfirmaet Quokka har gennemført en detaljeret undersøgelse af Uhale-appen og konstateret, at den kan være forbundet med malware-familierne Mezmess og Voi1d. På trods af advarsler siden maj har ZEASN (nu ‘Whale TV’), som står bag Uhale-platformen, ikke reageret på rapporterne.
Et skræmmende resultat af undersøgelsen viser, at mange af de analyserede Uhale-billedrammer henter skadeligt indhold fra servere i Kina, når de starter op.
“Ved opstart tjekker mange af rammerne Uhale-appens version 4.2.0,” forklarer Quokkas forskere ifølge Chip.
Efter opdatering og genstart downloader den opdaterede app malware og afvikler den. Den hentede fil bliver hentet og afviklet på ny ved hver opstart.
De undersøgte enheder var som standard rootet, havde SELinux-sikkerhedsmodulet deaktiveret og mange systemkomponenter signeret med AOSP-testnøgler (Android Open Source Project).
Forskere finder flere sikkerhedshuller
Ud over den konstaterede malware-distribution – som ikke optrådte på alle Uhale-rammer – identificerede forskerne over et dusin andre sikkerhedsproblemer. Blandt de 17 sårbarheder, som Quokka beskriver, har 11 fået CVE-ID’er. De vigtigste omfatter:
- CVE-2025-58392 / CVE-2025-58397 – En usikker TrustManager-implementering gør Man-in-the-Middle-angreb muligt, hvilket kan føre til fjernudførelse af kode som root.
- CVE-2025-58388 – Appens opdateringsproces tillader direkte overførsel af filnavne til shell-kommandoer, hvilket muliggør ‘command injection’ og installation af vilkårlige APK-filer.
- CVE-2025-58394 – Alle testede rammer har deaktiveret SELinux, er som standard rootet og bruger offentlige AOSP-testnøgler.
- CVE-2025-58396 – Den forudinstallerede app åbner en filserver, der tillader uautoriserede uploads, så filer kan ændres eller slettes efter behov.
- CVE-2025-58390 – WebViews ignorerer SSL/TLS-fejl og tillader blandet indhold, hvilket øger risikoen for phishing-angreb.
Antallet af berørte brugere er svært at vurdere
Da disse produkter sælges under forskellige mærker uden omtale af platformen, er det svært at vurdere, hvor mange brugere der potentielt er berørt.
Uhale-appen har over 500.000 downloads i Google Play Store og 11.000 anmeldelser i App Store. På Amazon har Uhale-billedrammer næsten 1.000 brugeranmeldelser.
Brugere rådes til kun at købe elektroniske enheder fra velrenommerede mærker, som bruger officielle Android-versioner uden firmwareændringer, har Google Play-tjenester og indbyggede malware-beskyttelsesmekanismer.
Det amerikanske medie BleepingComputer har kontaktet ZEASN, men havde ved offentliggørelsen ikke modtaget svar.
