廉价安卓手机中发现更多固件后门

某些低成本的安卓智能手机和平板电脑附带恶意固件，这些固件会秘密收集受感染设备的数据，在运行的应用程序上显示广告，并在受害者的设备上下载不需要的APK文件。

俄罗斯反病毒供应商Dr.Web的安全研究人员发现，在联发科平台上运行的大量流行安卓设备的固件中包含了两种类型的downloader特洛伊木马，这些设备主要在俄罗斯销售。

特洛伊木马程序，检测为安卓下载器.473.起源和Android.Sprovider.7，能够收集有关受感染设备的数据，联系其命令和控制服务器，自动更新自身，根据从其服务器收到的指令秘密下载和安装其他应用程序，并在每次重新启动或打开设备时运行。

受恶意固件影响的Android设备型号列表包括：

联想A319、联想A6000、MegaFon Login 4 LTE、Bravis NB85、Bravis NB105、Irbis TZ85、Irbis TX97、Irbis TZ43、Irbis tz56、Pixus Touch 7.85 3G、超级M72KG、超级M729G、超级V2N10、Itell K3300、Digma Plane 9.7 3G、通用卫星GS700、Nomi C07000、Optima 10.1 3G TT1040MG、MALLAR ME-711、7 MID、Explay Imperium 8、Perfeo 9032_3G、，Prestigio MultiPad Wize 3021 3G、Prestigio MultiPad PMT5001 3G、Ritmix RMD-1121、Oysters T72HM 3G、Irbis tz70和Jeka JK103。

研究人员指出：“众所周知，网络罪犯通过增加应用程序下载统计数据和分发广告软件来赚取收入”。“因此，[两种特洛伊木马]都被纳入了Android固件，因为参与创建Android系统映像的不诚实的外包商决定从用户身上赚钱”。

Android.Sprovider.7在联想A319和联想A6000智能手机的固件中发现特洛伊木马。特洛伊木马可以做很多事情，包括：

• 下载、安装并运行APK文件。
• 在浏览器中打开指定的链接。
• 使用标准系统应用程序拨打特定号码。
• 运行已拨打指定号码的标准系统电话应用程序。
• 在所有应用程序上显示广告。
• 此外，在状态栏中显示广告。
• 在主屏幕上创建快捷方式。
• 更新主要恶意模块。

另一方面，Android.Sprovider.7。473.origin在其余设备中找到，这些设备下载并安装其他恶意软件程序和不需要的应用程序，包括一个名为H5GameCenter的广告程序。

H5GameCenter应用程序在所有正在运行的应用程序顶部显示一个小方框图像，并且没有禁用它的选项。即使受感染的用户删除了此应用，固件特洛伊木马也会重新安装该应用。

上个月，Kryptowire的安全研究人员在美国销售的许多廉价安卓智能手机的固件中发现了隐藏的后门。安卓智能手机还秘密收集手机用户的数据，并在用户不知情的情况下将其发送到中国服务器。

这种后门固件软件是由总部位于中国的上海AdUps科技公司开发的，该公司声称其软件为全球超过7亿台设备运行更新。

在上个月的另一项研究中，安全评级公司BitSight发现了某些低成本安卓设备使用的Ragentek固件中的一个缺陷，使得攻击者能够以root权限远程执行恶意代码，从而将设备的完全控制权交给黑客。