這種現像已開始達到令人擔憂的程度。出版商的安全研究人員大蜘蛛剛剛獲得了兩個直接安裝在 Android 智慧型手機韌體中的新後門,主要在俄羅斯銷售。該惡意軟體的目的:傳播廣告和虛假軟體下載詐欺。
第一個名為 Android.Downloader.473.origin,主要出現在或多或少不知名品牌的終端機上,其中許多運行在 Mediatek 晶片組上。 Dr.Web 辨識出 26 個受感染模型。每次開啟裝置時,惡意軟體都會聯絡其命令和控制伺服器以接收其指令。通常,這涉及下載可能是惡意的也可能不是惡意的應用程式。特別是,它可以安裝H5GameCenter應用程序,該應用程式在其他程式中顯示廣告,並鼓勵用戶透過自己的目錄下載軟體。
第二個後門稱為Android.Sprovider.7。它的功能更廣泛一些。它不僅可以安裝應用程式和顯示廣告,還可以撥打電話號碼,其目的可能是進行高費率號碼詐欺。然而,更令人驚訝的是,這個後門出現在一個更知名品牌的終端機上:聯想。 Dr.Web 已識別出兩種受感染的型號:A319 和 A6000。他們是如何進入韌體的?
數以百萬計的易受攻擊的終端
這並不是安全研究人員第一次在 Android 韌體中發現後門。一個月前,Kryptowire 公司獲得了該軟體廣拓FOTA,安裝在美國市場上銷售的數萬台 Blu Products 終端機上。理論上用於管理遠端更新,它可以在手機上安裝任何軟體。由於與其命令和控制伺服器的交換沒有得到很好的保護,駭客可以輕鬆地依靠它來進行此類攻擊中間人。
在此過程中,Anubis Networks 的安全研究人員在近 300 萬個終端中發現了間諜。中國公司開發銳捷科技,它又是一個遠端更新軟體,但其實現完全有缺陷,容易受到中間人攻擊。該軟體位於韌體級別,很難卸載。因此,它們對用戶來說是一個重大危險。
來源:大蜘蛛