雷鋒網消息，美國時間 6 月 6 日，德國聯(lián)邦信息安全辦公室（BSI）發(fā)布了安全警報，稱在該國銷售的至少四款智能手機的固件中嵌入了惡意軟件。

受影響的型號包括 Doogee BL7000、M-Horse Pure 1、Keecoo P11和 VKworld Mix Plus（固件中存在的惡意軟件，但不活動），這四款都是低端安卓智能手機。

BSI 稱，這些手機的固件中包含一個名為Andr / Xgen2-CY的后門木馬。

英國網絡安全公司 Sophos Labs 于 2018 年 10 月首次發(fā)現(xiàn)了這一惡意軟件病毒。在當時發(fā)布的一份報告中，Sophos 表示，惡意軟件嵌入在一個名為 SoundRecorder 的應用程序中，默認包含在 uleFone S8 Pro 智能手機上。

Sophos 表示，Andr / Xgen2-CY意圖不軌，就想安安靜靜、牢不可破地待在受感染手機里，還讓人刪不掉。

手機開機后，這個惡意軟件開始運行，并收集有關受感染手機的詳細信息，ping其命令和控制服務器，并等待將來的指示。

Sophos 表示，Andr / Xgen2-CY可以收集如下數(shù)據(jù)：

設備的電話號碼

位置信息，包括經度，緯度和街道地址

IMEI 標識符和Android ID

屏幕分辨率

制造商，型號，品牌，操作系統(tǒng)版本

CPU信息

網絡類型

MAC地址

RAM和ROM大小

SD卡大小

語言和國家

手機服務提供商

一旦受感染的手機在攻擊者的服務器上注冊，他們就可以使用該惡意軟件：

下載并安裝應用程序

卸載應用

執(zhí)行shell命令

在瀏覽器中打開URL

Sophos 表示，這個惡意軟件的作者試圖隱藏惡意代碼，后門被偽裝成安卓支持庫的一部分。“由于固定在固件的內部區(qū)域，手動刪除惡意軟件是不可能的?！盉SI 說。

雷鋒網了解到，好消息是，現(xiàn)在可以通過手機制造商發(fā)布的固件更新來刪除惡意軟件。但是，現(xiàn)在固件更新僅適用于 Keecoo P11 ，其他型號只能哭。

這家德國網絡安全機構表示，每天至少有兩萬個德國 IP 地址連接到 Andr / Xgen2-CY 的服務器，這表明仍有許多德國用戶使用受感染的手機，其他國家/地區(qū)的用戶也很可能受到影響。

BSI 警告說，現(xiàn)在有可能其他惡意軟件從這個惡意軟件的服務器被推送到這些手機上，如勒索軟件、銀行特洛伊木馬或廣告軟件。

雷鋒網發(fā)現(xiàn)，這不是孤例。

2016 年 12 月，安全公司 Dr.Web 的安全研究人員在 26 款安卓智能手機的固件中發(fā)現(xiàn)了惡意軟件的下載程序。

2017年7月，Dr.Web發(fā)現(xiàn)隱藏在幾款安卓智能手機固件中的 Triada 銀行木馬。

2018 年 3 月，Dr.Web 在 42 款安卓智能手機的固件中嵌入了相同的 Triada 木馬。

2018年5月，Avast 研究人員在 141 款安卓智能手機的固件中發(fā)現(xiàn)了 Cosiloon 后門木馬。

來源：ZDnet。

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。