▲点击上方 雷锋网 关注
这些手机的固件中包含一个名为Andr / Xgen2-CY的后门木马。
文 | 李勤
雷锋网消息,美国时间 6 月 6 日,德国联邦信息安全办公室(BSI)发布了安全警报,称在该国销售的至少四款智能手机的固件中嵌入了恶意软件。
受影响的型号包括 Doogee BL7000、M-Horse Pure 1、Keecoo P11和 VKworld Mix Plus(固件中存在的恶意软件,但不活动),这四款都是低端安卓智能手机。
BSI 称,这些手机的固件中包含一个名为Andr / Xgen2-CY的后门木马。
英国网络安全公司 Sophos Labs 于 2018 年 10 月首次发现了这一恶意软件病毒。在当时发布的一份报告中,Sophos 表示,恶意软件嵌入在一个名为 SoundRecorder 的应用程序中,默认包含在 uleFone S8 Pro 智能手机上。
Sophos 表示,Andr / Xgen2-CY意图不轨,就想安安静静、牢不可破地待在受感染手机里,还让人删不掉。
手机开机后,这个恶意软件开始运行,并收集有关受感染手机的详细信息,ping其命令和控制服务器,并等待将来的指示。
Sophos 表示,Andr / Xgen2-CY可以收集如下数据:
设备的电话号码
位置信息、包括经度、纬度和街道地址
IMEI 标识符和Android ID
屏幕分辨率
制造商、型号、品牌、操作系统版本
CPU信息
网络类型
MAC地址
RAM和ROM大小
SD卡大小
语言和国家
手机服务提供商
一旦受感染的手机在攻击者的服务器上注册,他们就可以使用该恶意软件:
下载并安装应用程序
卸载应用
执行shell命令
在浏览器中打开URL
Sophos 表示,这个恶意软件的作者试图隐藏恶意代码,后门被伪装成安卓支持库的一部分。“由于固定在固件的内部区域,手动删除恶意软件是不可能的。”BSI 说。
雷锋网了解到,好消息是,现在可以通过手机制造商发布的固件更新来删除恶意软件。但是,现在固件更新仅适用于 Keecoo P11 ,其他型号只能哭。
这家德国网络安全机构表示,每天至少有两万个德国 IP 地址连接到 Andr / Xgen2-CY 的服务器,这表明仍有许多德国用户使用受感染的手机,其他国家/地区的用户也很可能受到影响。
BSI 警告说,现在有可能其他恶意软件从这个恶意软件的服务器被推送到这些手机上,如勒索软件、银行特洛伊木马或广告软件。
雷锋网发现,这不是孤例。
2016 年 12 月,安全公司 Dr.Web 的安全研究人员在 26 款安卓智能手机的固件中发现了恶意软件的下载程序。
2017年7月,Dr.Web发现隐藏在几款安卓智能手机固件中的 Triada 银行木马。
2018 年 3 月,Dr.Web 在 42 款安卓智能手机的固件中嵌入了相同的 Triada 木马。
2018年5月,Avast 研究人员在 141 款安卓智能手机的固件中发现了 Cosiloon 后门木马。
来源:ZDnet。
◆ ◆ ◆
推荐阅读
CCF-GAIR 2019
由中国计算机学会主办、雷锋网和香港中文大学(深圳)联合承办的 2019 全球人工智能与机器人峰会,将于 2019 年 7 月 12 日至 14 日在深圳举行。届时,诺贝尔奖得主JamesJ. Heckman、中外院士、世界顶会主席、知名Fellow,多位重磅嘉宾将亲自坐阵,一起探讨人工智能和机器人领域学、产、投等复杂的生存态势。