0
雷鋒網消息,美國時間 6 月 6 日,德國聯邦信息安全辦公室(BSI)發布了安全警報,稱在該國銷售的至少四款智能手機的固件中嵌入了惡意軟件。
受影響的型號包括 Doogee BL7000、M-Horse Pure 1、Keecoo P11和 VKworld Mix Plus(固件中存在的惡意軟件,但不活動),這四款都是低端安卓智能手機。
BSI 稱,這些手機的固件中包含一個名為Andr / Xgen2-CY的后門木馬。
英國網絡安全公司 Sophos Labs 于 2018 年 10 月首次發現了這一惡意軟件病毒。在當時發布的一份報告中,Sophos 表示,惡意軟件嵌入在一個名為 SoundRecorder 的應用程序中,默認包含在 uleFone S8 Pro 智能手機上。
Sophos 表示,Andr / Xgen2-CY意圖不軌,就想安安靜靜、牢不可破地待在受感染手機里,還讓人刪不掉。
手機開機后,這個惡意軟件開始運行,并收集有關受感染手機的詳細信息,ping其命令和控制服務器,并等待將來的指示。
Sophos 表示,Andr / Xgen2-CY可以收集如下數據:
設備的電話號碼
位置信息,包括經度,緯度和街道地址
IMEI 標識符和Android ID
屏幕分辨率
制造商,型號,品牌,操作系統版本
CPU信息
網絡類型
MAC地址
RAM和ROM大小
SD卡大小
語言和國家
手機服務提供商
一旦受感染的手機在攻擊者的服務器上注冊,他們就可以使用該惡意軟件:
下載并安裝應用程序
卸載應用
執行shell命令
在瀏覽器中打開URL
Sophos 表示,這個惡意軟件的作者試圖隱藏惡意代碼,后門被偽裝成安卓支持庫的一部分。“由于固定在固件的內部區域,手動刪除惡意軟件是不可能的。”BSI 說。
雷鋒網了解到,好消息是,現在可以通過手機制造商發布的固件更新來刪除惡意軟件。但是,現在固件更新僅適用于 Keecoo P11 ,其他型號只能哭。
這家德國網絡安全機構表示,每天至少有兩萬個德國 IP 地址連接到 Andr / Xgen2-CY 的服務器,這表明仍有許多德國用戶使用受感染的手機,其他國家/地區的用戶也很可能受到影響。
BSI 警告說,現在有可能其他惡意軟件從這個惡意軟件的服務器被推送到這些手機上,如勒索軟件、銀行特洛伊木馬或廣告軟件。
雷鋒網發現,這不是孤例。
2016 年 12 月,安全公司 Dr.Web 的安全研究人員在 26 款安卓智能手機的固件中發現了惡意軟件的下載程序。
2017年7月,Dr.Web發現隱藏在幾款安卓智能手機固件中的 Triada 銀行木馬。
2018 年 3 月,Dr.Web 在 42 款安卓智能手機的固件中嵌入了相同的 Triada 木馬。
2018年5月,Avast 研究人員在 141 款安卓智能手機的固件中發現了 Cosiloon 后門木馬。
來源:ZDnet。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
