信息來源：FreeBuf

CheckPoint的專家們最近在38臺Android設備中發(fā)現(xiàn)了嚴重的感染情況，這38臺設備屬于一家大型通訊公司和一家跨國科技企業(yè)。重點是這些惡意軟件并不是用戶主動安裝的，而是在購買時就預裝的——雖然并不是廠商的官方固件。

研究人員在報告中指出，惡意軟件在用戶收到手機之前就已經預裝。這些惡意軟件并不是在廠商官方ROM中的，而是在供應鏈中的某個環(huán)節(jié)被裝上了。更可怕的是，有6款惡意軟件是利用了系統(tǒng)權限裝到設備上的，也就是說除非刷機，用戶無法移除軟件。

其中有6臺設備內置了惡意廣告網絡，apk為com.google.googlesearch；

其他設備中存在Loki惡意軟件，apk為com.androidhelper.sdk。

研究人員們發(fā)現(xiàn)的預裝惡意軟件大部分都是收集信息、散播廣告的，不過其中一款是Slocker。這款軟件是移動端的勒索軟件。Slocker使用AES加密算法加密設備上所有設備，并且向用戶索要贖金換取解密密鑰。Slocker會使用Tor作為C&C服務器。

而Loki惡意軟件也值得一提。這款軟件非常復雜，能夠使用多個組件運行，每個組件都有其自己的功能和角色。這款軟件會顯示非法的廣告獲取收入。程序還會竊取設備數(shù)據(jù)、安裝到系統(tǒng)，從而獲得手機全部權限并常駐手機。

影響范圍

預裝惡意軟件的機型包括：

Galaxy Note 2

LG G4

Galaxy S7

Galaxy S4

Galaxy Note 4

Galaxy Note 5

Galaxy Note 8.0

Xiaomi Mi 4i

Galaxy A5

ZTE x500

Galaxy Note 3

Galaxy Note Edge

Galaxy Tab S2

Galaxy Tab 2

Oppo N3

Vivo X6 plus

Nexus 5

Nexus 5X

Asus Zenfone 2

Lenovo S90

OppoR7 plus

Xiaomi Redmi

Lenovo A850

涵蓋的廠商包括三星、LG、小米、中興、Oppo、Vivo、華碩、聯(lián)想。

預裝軟件的危害

一般來說，用戶要防范的是存在風險的網站，以及注意通過官方渠道和認證的應用商店下載應用。但是，僅僅這些防范不了本案中的這些惡意軟件。預裝的軟件即便是對那些有安全意識的用戶來說也是防不勝防。另外一個收到預裝有惡意軟件的用戶很難察覺到其中的端倪。因此，從正規(guī)渠道購買手機也就成為需要注意的問題，這樣才不致如上面這些手機一樣，在非正規(guī)供貨渠道預裝惡意程序。

事實上，預裝惡意軟件事件是第一次了，有時候甚至是廠商預裝的。過去安全專家們曾經多次報道過有關預裝惡意軟件的案例。2015年9月，G-Data的安全專家們發(fā)現(xiàn)了中國的Android設備中存在的預裝惡意軟件。2016年12月Doctor Web的專家們在多款廉價Android智能手機和平板的固件中發(fā)現(xiàn)了新的木馬。

這些惡意代碼往往會控制感染設備，讓受害者下載、安裝、執(zhí)行惡意軟件，從而訪問數(shù)據(jù)、撥打高額手機號碼。

*參考來源：CheckPoint，本文作者：Sphinx，轉載請注明來自FreeBuf（FreeBuf.COM）