之前我們報道過兩起Android手機暗藏漏洞的事件,而周一,來自俄羅斯殺軟廠商Dr.Web(大蜘蛛)的研究人員又 發現 了暗藏漏洞的現象。
研究人員們發現,某些廉價的Android智能手機和平板中內置了惡意的固件,這些固件會從手機上收集數據,在軟件上覆蓋廣告,還能下載一些無用的軟件APK。
研究員調查了俄羅斯市場中銷售的MTK平臺手機,發現了固件中存在的兩種downloader木馬。
這兩個木馬被命名為Android.DownLoader.473.origin和Android.Sprovider.7。他們能夠收集手機數據、連接C&C服務器、自動更新、根據指令靜默下載安裝其他應用、并且能在手機開機時自動運行。
影響手機列表:
聯想A319
聯想A6000
MegaFon Login 4 LTE
Irbis TZ85
Irbis TX97
Irbis TZ43
Bravis NB85
Bravis NB105
SUPRA M72KG
SUPRA M729G
SUPRA V2N10
Pixus Touch 7.85 3G
Itell K3300
General Satellite GS700
Digma Plane 9.7 3G
Nomi C07000
Prestigio MultiPad Wize 3021 3G
Prestigio MultiPad PMT5001 3G
Optima 10.1 3G TT1040MG
Marshal ME-711
7 MID
Explay Imperium 8
Perfeo 9032_3G
Ritmix RMD-1121
Oysters T72HM 3G
Irbis tz70
Irbis tz56
Jeka JK103
研究人員指出“大家都知道網絡罪犯通過提高應用的下載量、傳播廣告軟件來賺取收入”,正因因此,兩款木馬都因為外包商惟利是圖而被加入到了Android系統鏡像中。
Android.Sprovider.7木馬是在聯想A319和A6000機型中發現的,這款木馬具備以下功能:
下載安裝apk文件
在瀏覽器中打開特定鏈接
使用標準的系統應用撥打電話
覆蓋所有應用顯示廣告
在狀態欄顯示廣告
添加快捷方式到主屏
更新惡意模塊
研究人員在其他設備上發現的木馬名為Android.DownLoader.473.origin,它能夠安裝其他惡意軟件,包括一款名為H5GameCenter的廣告軟件。
H5GameCenter會在所有正在運行的應用上顯示一個小圖片,用戶無法關閉。即便用戶卸載該應用,固件中的木馬還會自動重裝。
筆者建議出現此問題的用戶使用殺毒軟件掃描設備,隨后使用包禁用軟件如Debloater禁用相關系統軟件。
固件后門屢屢發生
上個月,Kryptowire安全研究人員稱,他們發現在美國銷售的大量廉價Android手機含有隱藏的后門,這些手機會秘密收集機主信息并發送到中國的服務器。而生產這些固件的廣升公司發布公告稱,“相關信息采集,僅用于更好地實現產品終端系統的升級和優化服務”。
同樣在上月,BitSight公司發現了Ragentek固件中的漏洞,黑客可以利用漏洞以root身份執行惡意代碼。
