0
| 本文作者: 李勤 | 2019-06-07 14:27 |
雷鋒網(wǎng)消息,美國(guó)時(shí)間 6 月 6 日,德國(guó)聯(lián)邦信息安全辦公室(BSI)發(fā)布了安全警報(bào),稱在該國(guó)銷售的至少四款智能手機(jī)的固件中嵌入了惡意軟件。
受影響的型號(hào)包括 Doogee BL7000、M-Horse Pure 1、Keecoo P11和 VKworld Mix Plus(固件中存在的惡意軟件,但不活動(dòng)),這四款都是低端安卓智能手機(jī)。
BSI 稱,這些手機(jī)的固件中包含一個(gè)名為Andr / Xgen2-CY的后門木馬。
英國(guó)網(wǎng)絡(luò)安全公司 Sophos Labs 于 2018 年 10 月首次發(fā)現(xiàn)了這一惡意軟件病毒。在當(dāng)時(shí)發(fā)布的一份報(bào)告中,Sophos 表示,惡意軟件嵌入在一個(gè)名為 SoundRecorder 的應(yīng)用程序中,默認(rèn)包含在 uleFone S8 Pro 智能手機(jī)上。
Sophos 表示,Andr / Xgen2-CY意圖不軌,就想安安靜靜、牢不可破地待在受感染手機(jī)里,還讓人刪不掉。
手機(jī)開機(jī)后,這個(gè)惡意軟件開始運(yùn)行,并收集有關(guān)受感染手機(jī)的詳細(xì)信息,ping其命令和控制服務(wù)器,并等待將來(lái)的指示。
Sophos 表示,Andr / Xgen2-CY可以收集如下數(shù)據(jù):
設(shè)備的電話號(hào)碼
位置信息,包括經(jīng)度,緯度和街道地址
IMEI 標(biāo)識(shí)符和Android ID
屏幕分辨率
制造商,型號(hào),品牌,操作系統(tǒng)版本
CPU信息
網(wǎng)絡(luò)類型
MAC地址
RAM和ROM大小
SD卡大小
語(yǔ)言和國(guó)家
手機(jī)服務(wù)提供商
一旦受感染的手機(jī)在攻擊者的服務(wù)器上注冊(cè),他們就可以使用該惡意軟件:
下載并安裝應(yīng)用程序
卸載應(yīng)用
執(zhí)行shell命令
在瀏覽器中打開URL
Sophos 表示,這個(gè)惡意軟件的作者試圖隱藏惡意代碼,后門被偽裝成安卓支持庫(kù)的一部分。“由于固定在固件的內(nèi)部區(qū)域,手動(dòng)刪除惡意軟件是不可能的。”BSI 說。
雷鋒網(wǎng)了解到,好消息是,現(xiàn)在可以通過手機(jī)制造商發(fā)布的固件更新來(lái)刪除惡意軟件。但是,現(xiàn)在固件更新僅適用于 Keecoo P11 ,其他型號(hào)只能哭。
這家德國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)表示,每天至少有兩萬(wàn)個(gè)德國(guó) IP 地址連接到 Andr / Xgen2-CY 的服務(wù)器,這表明仍有許多德國(guó)用戶使用受感染的手機(jī),其他國(guó)家/地區(qū)的用戶也很可能受到影響。
BSI 警告說,現(xiàn)在有可能其他惡意軟件從這個(gè)惡意軟件的服務(wù)器被推送到這些手機(jī)上,如勒索軟件、銀行特洛伊木馬或廣告軟件。
雷鋒網(wǎng)發(fā)現(xiàn),這不是孤例。
2016 年 12 月,安全公司 Dr.Web 的安全研究人員在 26 款安卓智能手機(jī)的固件中發(fā)現(xiàn)了惡意軟件的下載程序。
2017年7月,Dr.Web發(fā)現(xiàn)隱藏在幾款安卓智能手機(jī)固件中的 Triada 銀行木馬。
2018 年 3 月,Dr.Web 在 42 款安卓智能手機(jī)的固件中嵌入了相同的 Triada 木馬。
2018年5月,Avast 研究人員在 141 款安卓智能手機(jī)的固件中發(fā)現(xiàn)了 Cosiloon 后門木馬。
來(lái)源:ZDnet。
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
