这种现象已开始达到令人担忧的程度。出版商的安全研究人员大蜘蛛刚刚获得了两个直接安装在 Android 智能手机固件中的新后门,主要在俄罗斯销售。该恶意软件的目的:传播广告和虚假软件下载欺诈。
第一个名为 Android.Downloader.473.origin,主要出现在或多或少不知名品牌的终端上,其中许多运行在 Mediatek 芯片组上。 Dr.Web 识别出 26 个受感染模型。每次打开设备时,恶意软件都会联系其命令和控制服务器以接收其指令。通常,这涉及下载可能是恶意的也可能不是恶意的应用程序。特别是,它可以安装H5GameCenter应用程序,该应用程序在其他程序中显示广告,并鼓励用户通过自己的目录下载软件。
第二个后门称为Android.Sprovider.7。它的功能更广泛一些。它不仅可以安装应用程序和显示广告,还可以拨打电话号码,其目的可能是进行高费率号码欺诈。然而,更令人惊讶的是,这个后门出现在一个更知名品牌的终端上:联想。 Dr.Web 已识别出两种受感染的型号:A319 和 A6000。他们是如何进入固件的?
数以百万计的易受攻击的终端
这并不是安全研究人员第一次在 Android 固件中发现后门。一个月前,Kryptowire 公司获得了该软件广拓FOTA,安装在美国市场上销售的数万台 Blu Products 终端上。理论上用于管理远程更新,它可以在手机上安装任何软件。由于与其命令和控制服务器的交换没有得到很好的保护,黑客可以轻松地依靠它来进行此类攻击中间人。
在此过程中,Anubis Networks 的安全研究人员在近 300 万个终端中发现了间谍。中国公司开发锐捷科技,它又是一个远程更新软件,但其实现完全有缺陷,容易受到中间人攻击。该软件位于固件级别,很难卸载。因此,它们对用户来说是一个重大危险。
来源:大蜘蛛
