信息來(lái)源：FreeBuf

CheckPoint的專家們最近在38臺(tái)Android設(shè)備中發(fā)現(xiàn)了嚴(yán)重的感染情況，這38臺(tái)設(shè)備屬于一家大型通訊公司和一家跨國(guó)科技企業(yè)。重點(diǎn)是這些惡意軟件并不是用戶主動(dòng)安裝的，而是在購(gòu)買時(shí)就預(yù)裝的——雖然并不是廠商的官方固件。

研究人員在報(bào)告中指出，惡意軟件在用戶收到手機(jī)之前就已經(jīng)預(yù)裝。這些惡意軟件并不是在廠商官方ROM中的，而是在供應(yīng)鏈中的某個(gè)環(huán)節(jié)被裝上了。更可怕的是，有6款惡意軟件是利用了系統(tǒng)權(quán)限裝到設(shè)備上的，也就是說除非刷機(jī)，用戶無(wú)法移除軟件。

其中有6臺(tái)設(shè)備內(nèi)置了惡意廣告網(wǎng)絡(luò)，apk為com.google.googlesearch；

其他設(shè)備中存在Loki惡意軟件，apk為com.androidhelper.sdk。

研究人員們發(fā)現(xiàn)的預(yù)裝惡意軟件大部分都是收集信息、散播廣告的，不過其中一款是Slocker。這款軟件是移動(dòng)端的勒索軟件。Slocker使用AES加密算法加密設(shè)備上所有設(shè)備，并且向用戶索要贖金換取解密密鑰。Slocker會(huì)使用Tor作為C&C服務(wù)器。

而Loki惡意軟件也值得一提。這款軟件非常復(fù)雜，能夠使用多個(gè)組件運(yùn)行，每個(gè)組件都有其自己的功能和角色。這款軟件會(huì)顯示非法的廣告獲取收入。程序還會(huì)竊取設(shè)備數(shù)據(jù)、安裝到系統(tǒng)，從而獲得手機(jī)全部權(quán)限并常駐手機(jī)。

影響范圍

預(yù)裝惡意軟件的機(jī)型包括：

Galaxy Note 2

LG G4

Galaxy S7

Galaxy S4

Galaxy Note 4

Galaxy Note 5

Galaxy Note 8.0

Xiaomi Mi 4i

Galaxy A5

ZTE x500

Galaxy Note 3

Galaxy Note Edge

Galaxy Tab S2

Galaxy Tab 2

Oppo N3

Vivo X6 plus

Nexus 5

Nexus 5X

Asus Zenfone 2

Lenovo S90

OppoR7 plus

Xiaomi Redmi

Lenovo A850

涵蓋的廠商包括三星、LG、小米、中興、Oppo、Vivo、華碩、聯(lián)想。

預(yù)裝軟件的危害

一般來(lái)說，用戶要防范的是存在風(fēng)險(xiǎn)的網(wǎng)站，以及注意通過官方渠道和認(rèn)證的應(yīng)用商店下載應(yīng)用。但是，僅僅這些防范不了本案中的這些惡意軟件。預(yù)裝的軟件即便是對(duì)那些有安全意識(shí)的用戶來(lái)說也是防不勝防。另外一個(gè)收到預(yù)裝有惡意軟件的用戶很難察覺到其中的端倪。因此，從正規(guī)渠道購(gòu)買手機(jī)也就成為需要注意的問題，這樣才不致如上面這些手機(jī)一樣，在非正規(guī)供貨渠道預(yù)裝惡意程序。

事實(shí)上，預(yù)裝惡意軟件事件是第一次了，有時(shí)候甚至是廠商預(yù)裝的。過去安全專家們?cè)?jīng)多次報(bào)道過有關(guān)預(yù)裝惡意軟件的案例。2015年9月，G-Data的安全專家們發(fā)現(xiàn)了中國(guó)的Android設(shè)備中存在的預(yù)裝惡意軟件。2016年12月Doctor Web的專家們?cè)?/span>多款廉價(jià)Android智能手機(jī)和平板的固件中發(fā)現(xiàn)了新的木馬。

這些惡意代碼往往會(huì)控制感染設(shè)備，讓受害者下載、安裝、執(zhí)行惡意軟件，從而訪問數(shù)據(jù)、撥打高額手機(jī)號(hào)碼。

*參考來(lái)源：CheckPoint，本文作者：Sphinx，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf（FreeBuf.COM）