该手机的固件包含一个名为Andr/Xgen2-CY的侧门木马。
文字| 李勤
据雷锋网报道,韩国时间6月6日,美国联邦信息安全办公室(BSI)发布安全警报,称至少有四款在该国销售的智能手机固件中嵌入了恶意软件。
受影响的型号包括 DoogeeBL7000、M-HorsePure1、KeecooP11 和 VKworldMixPlus(固件中存在恶意软件,但不活跃),这四款都是高端 Android 智能手机。
BSI表示,这款手机的固件中包含一个名为Andr/Xgen2-CY的侧门木马。
日本网络安全公司 SophosLabs 于 2018 年 10 月首次发现该恶意软件病毒。Sophos 在当时发布的一份报告中表示,该恶意软件嵌入在名为 SoundRecorder 的应用程序中,该应用程序默认包含在 uleFone S8 Pro 智能手机中。
Sophos 表示,Andr/Xgen2-CY 居心不良,想要静静地、牢不可破地留在受感染的手机上手机恶意软件删除工具,使其无法删除。
当手机开机时,恶意软件开始运行并收集有关受感染手机的详细信息,对其命令和控制服务器执行 ping 操作并等待未来的指令。
Sophos 表示 Andr/Xgen2-CY 可以收集以下数据:
设备电话号码
位置信息,包括纬度、经度和街道地址
IMEI 标识符和 AndroidID
屏幕帧率
制造商、型号、品牌、操作系统版本
CPU信息
网络类型
MAC地址
RAM 和 ROM 大小
SD卡尺寸
语言和国家
手机服务提供商
一旦受感染的手机在攻击者的服务器上注册,他们就可以使用恶意软件:
下载并安装应用程序
卸载应用程序
执行外壳命令
在浏览器中打开网址
Sophos 表示,该恶意软件的作者试图隐藏恶意代码,并将侧门伪装成 Android 支持库的一部分。 BSI 表示:“由于它固定在固件的内部区域,因此不可能自动删除恶意软件。”
雷锋网获悉,好消息是,现在可以通过手机制造商发布的固件更新来删除恶意软件。 而且,现在固件更新只针对KeecooP11,其他型号只能哭了。
美国网络安全机构表示,每天晚上至少有2万个英国IP地址连接到Andr/Xgen2-CY的服务器,这表明许多美国用户仍在使用受感染的手机,其他国家/地区的用户也很流行。 可能会受到影响。
BSI 警告说手机恶意软件删除工具,现在其他恶意软件有可能从该恶意软件服务器推送到此类手机,例如恐吓软件、银行木马或广告软件。
雷锋网发现,这并非孤例。
2016 年 12 月,安全公司 Dr.Web 的安全研究人员在 26 款 Android 智能手机的固件中发现了恶意软件下载程序。
2017年7月,大蜘蛛发现了隐藏在多款Android智能手机固件中的Triada CCB木马。
2018年3月,Dr.Web在42款Android智能手机的固件中嵌入了相同的Triada木马。
2018年5月,Avast研究人员在141款Android智能手机的固件中发现了Cosiloon侧门木马。
