雷鋒網(wǎng)消息，美國時(shí)間 6 月 6 日，德國聯(lián)邦信息安全辦公室（BSI）發(fā)布了安全警報(bào)，稱在該國銷售的至少四款智能手機(jī)的固件中嵌入了惡意軟件。

受影響的型號(hào)包括 Doogee BL7000、M-Horse Pure 1、Keecoo P11和 VKworld Mix Plus（固件中存在的惡意軟件，但不活動(dòng)），這四款都是低端安卓智能手機(jī)。

BSI 稱，這些手機(jī)的固件中包含一個(gè)名為Andr / Xgen2-CY的后門木馬。

英國網(wǎng)絡(luò)安全公司 Sophos Labs 于 2018 年 10 月首次發(fā)現(xiàn)了這一惡意軟件病毒。在當(dāng)時(shí)發(fā)布的一份報(bào)告中，Sophos 表示，惡意軟件嵌入在一個(gè)名為 SoundRecorder 的應(yīng)用程序中，默認(rèn)包含在 uleFone S8 Pro 智能手機(jī)上。

Sophos 表示，Andr / Xgen2-CY意圖不軌，就想安安靜靜、牢不可破地待在受感染手機(jī)里，還讓人刪不掉。

手機(jī)開機(jī)后，這個(gè)惡意軟件開始運(yùn)行，并收集有關(guān)受感染手機(jī)的詳細(xì)信息，ping其命令和控制服務(wù)器，并等待將來的指示。

Sophos 表示，Andr / Xgen2-CY可以收集如下數(shù)據(jù)：

設(shè)備的電話號(hào)碼

位置信息，包括經(jīng)度，緯度和街道地址

IMEI 標(biāo)識(shí)符和Android ID

屏幕分辨率

制造商，型號(hào)，品牌，操作系統(tǒng)版本

CPU信息

網(wǎng)絡(luò)類型

MAC地址

RAM和ROM大小

SD卡大小

語言和國家

手機(jī)服務(wù)提供商

一旦受感染的手機(jī)在攻擊者的服務(wù)器上注冊(cè)，他們就可以使用該惡意軟件：

下載并安裝應(yīng)用程序

卸載應(yīng)用

執(zhí)行shell命令

在瀏覽器中打開URL

Sophos 表示，這個(gè)惡意軟件的作者試圖隱藏惡意代碼，后門被偽裝成安卓支持庫的一部分。“由于固定在固件的內(nèi)部區(qū)域，手動(dòng)刪除惡意軟件是不可能的?！盉SI 說。

雷鋒網(wǎng)了解到，好消息是，現(xiàn)在可以通過手機(jī)制造商發(fā)布的固件更新來刪除惡意軟件。但是，現(xiàn)在固件更新僅適用于 Keecoo P11 ，其他型號(hào)只能哭。

這家德國網(wǎng)絡(luò)安全機(jī)構(gòu)表示，每天至少有兩萬個(gè)德國 IP 地址連接到 Andr / Xgen2-CY 的服務(wù)器，這表明仍有許多德國用戶使用受感染的手機(jī)，其他國家/地區(qū)的用戶也很可能受到影響。

BSI 警告說，現(xiàn)在有可能其他惡意軟件從這個(gè)惡意軟件的服務(wù)器被推送到這些手機(jī)上，如勒索軟件、銀行特洛伊木馬或廣告軟件。

雷鋒網(wǎng)發(fā)現(xiàn)，這不是孤例。

2016 年 12 月，安全公司 Dr.Web 的安全研究人員在 26 款安卓智能手機(jī)的固件中發(fā)現(xiàn)了惡意軟件的下載程序。

2017年7月，Dr.Web發(fā)現(xiàn)隱藏在幾款安卓智能手機(jī)固件中的 Triada 銀行木馬。

2018 年 3 月，Dr.Web 在 42 款安卓智能手機(jī)的固件中嵌入了相同的 Triada 木馬。

2018年5月，Avast 研究人員在 141 款安卓智能手機(jī)的固件中發(fā)現(xiàn)了 Cosiloon 后門木馬。

來源：ZDnet。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。