CheckPoint的专家们最近在38台Android设备中发现了严重的感染情况,这38台设备属于一家大型通讯公司和一家跨国科技企业。重点是这些恶意软件并不是用户主动安装的,而是在购买时就预装的——虽然并不是厂商的官方固件。
研究人员在报告中指出,恶意软件在用户收到手机之前就已经预装。这些恶意软件并不是在厂商官方ROM中的,而是在供应链中的某个环节被装上了。更可怕的是,有6款恶意软件是利用了系统权限装到设备上的,也就是说除非刷机,用户无法移除软件。
其中有6台设备内置了恶意广告网络,apk为com.google.googlesearch;
其他设备中存在Loki恶意软件,apk为com.androidhelper.sdk。
研究人员们发现的预装恶意软件大部分都是收集信息、散播广告的,不过其中一款是Slocker。这款软件是移动端的勒索软件。Slocker使用AES加密算法加密设备上所有设备,并且向用户索要赎金换取解密密钥。Slocker会使用Tor作为C&C服务器。
而Loki恶意软件也值得一提。这款软件非常复杂,能够使用多个组件运行,每个组件都有其自己的功能和角色。这款软件会显示非法的广告获取收入。程序还会窃取设备数据、安装到系统,从而获得手机全部权限并常驻手机。
影响范围
预装恶意软件的机型包括:
Galaxy Note 2
LG G4
Galaxy S7
Galaxy S4
Galaxy Note 4
Galaxy Note 5
Galaxy Note 8
Xiaomi Mi 4i
Galaxy A5
ZTE x500
Galaxy Note 3
Galaxy Note Edge
Galaxy Tab S2
Galaxy Tab 2
Oppo N3
Vivo X6 plus
Nexus 5
Nexus 5X
Asus Zenfone 2
Lenovo S90
OppoR7 plus
Xiaomi Redmi
Lenovo A850
涵盖的厂商包括三星、LG、小米、中兴、Oppo、Vivo、华硕、联想。
预装软件的危害
一般来说,用户要防范的是存在风险的网站,以及注意通过官方渠道和认证的应用商店下载应用。但是,仅仅这些防范不了本案中的这些恶意软件。预装的软件即便是对那些有安全意识的用户来说也是防不胜防。另外一个收到预装有恶意软件的用户很难察觉到其中的端倪。因此,从正规渠道购买手机也就成为需要注意的问题,这样才不致如上面这些手机一样,在非正规供货渠道预装恶意程序。
事实上,预装恶意软件事件是第一次了,有时候甚至是厂商预装的。过去安全专家们曾经多次报道过有关预装恶意软件的案例。2015年9月,G-Data的安全专家们发现了中国的Android设备中存在的预装恶意软件。2016年12月Doctor Web的专家们在多款廉价Android智能手机和平板的固件中发现了新的木马。
这些恶意代码往往会控制感染设备,让受害者下载、安装、执行恶意软件,从而访问数据、拨打高额手机号码。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/55145.html