多款廉價Android手機再曝固件後門，聯想手機也在其列

之前我們報道過兩起Android手機暗藏漏洞的事件，而周一，來自俄羅斯殺軟廠商Dr.Web（大蜘蛛）的研究人員又發現了暗藏漏洞的現象。

研究人員們發現，某些廉價的Android智能手機和平板中內置了惡意的固件，這些固件會從手機上收集數據，在軟體上覆蓋廣告，還能下載一些無用的軟體APK。

研究員調查了俄羅斯市場中銷售的MTK平台手機，發現了固件中存在的兩種downloader木馬。

這兩個木馬被命名為Android.DownLoader.473.origin和Android.Sprovider.7。他們能夠收集手機數據、連接C&C伺服器、自動更新、根據指令靜默下載安裝其他應用、並且能在手機開機時自動運行。

影響手機列表：

聯想A319

聯想A6000

MegaFon Login 4 LTE

Irbis TZ85

Irbis TX97

Irbis TZ43

Bravis NB85

Bravis NB105

SUPRA M72KG

SUPRA M729G

SUPRA V2N10

Pixus Touch 7.85 3G

Itell K3300

General Satellite GS700

Digma Plane 9.7 3G

Nomi C07000

Prestigio MultiPad Wize 3021 3G

Prestigio MultiPad PMT5001 3G

Optima 10.1 3G TT1040MG

Marshal ME-711

7 MID

Explay Imperium 8

Perfeo 9032_3G

Ritmix RMD-1121

Oysters T72HM 3G

Irbis tz70

Irbis tz56

Jeka JK103

研究人員指出「大家都知道網路罪犯通過提高應用的下載量、傳播廣告軟體來賺取收入」，正因因此，兩款木馬都因為外包商惟利是圖而被加入到了Android系統鏡像中。

Android.Sprovider.7木馬是在聯想A319和A6000機型中發現的，這款木馬具備以下功能：

下載安裝apk文件

在瀏覽器中打開特定鏈接

使用標準的系統應用撥打電話

覆蓋所有應用顯示廣告

在狀態欄顯示廣告

添加快捷方式到主屏

更新惡意模塊

研究人員在其他設備上發現的木馬名為Android.DownLoader.473.origin，它能夠安裝其他惡意軟體，包括一款名為H5GameCenter的廣告軟體。

H5GameCenter會在所有正在運行的應用上顯示一個小圖片，用戶無法關閉。即便用戶卸載該應用，固件中的木馬還會自動重裝。

筆者建議出現此問題的用戶使用殺毒軟體掃描設備，隨後使用包禁用軟體如Debloater禁用相關係統軟體。

固件後門屢屢發生

上個月，Kryptowire安全研究人員稱，他們發現在美國銷售的大量廉價Android手機含有隱藏的後門，這些手機會秘密收集機主信息並發送到中國的伺服器。而生產這些固件的廣升公司發布公告稱，「相關信息採集，僅用於更好地實現產品終端系統的升級和優化服務」。

同樣在上月，BitSight公司發現了Ragentek固件中的漏洞，黑客可以利用漏洞以root身份執行惡意代碼。

*參考來源：

THN

&

Dr. Web

，本文作者：Sphinx，轉載請註明來自FreeBuf（FreeBuf.com）