移動安全公司The Check Point Mobile2017年3月10日在官網發布警告,他們近來在38部安卓手機檢測發現嚴重的惡意軟件感染問題。這38部手機分屬一家大型通訊公司和一家跨國技術公司。板上釘釘的事實是,這些手機不是在使用過程中被感染,而是在到達客戶手里的前已經被感染了!
研究發現,惡意軟件不是隨附在手機廠家原廠發布的ROM中,而是由供應鏈某個環節通過高權限注入手機固件。用戶根本無法移除,只能重新刷機。
下面舉例兩個惡意軟件的安裝來由。研究人員通過技術手段可以判讀手機固件是何時灌入(安裝)的,惡意軟件何時被注入的,用戶何時第一次開啟手機電源的。
6款手機中發現有惡意廣告聯盟的軟件:apk com.googlesearch以及惡意軟件Loki:apk com.androidhelper.sdk。 叫獸特意谷歌了一下,發現這個貌似谷歌的軟件,不是谷歌,而是李鬼。
大部分偷偷注入的惡意軟件都是偷竊客戶信息類或者廣告類。不過有一個狠角色叫做Slocker的軟件,這是手機端的惡意敲詐勒索軟件。它通過AES加密算法把客戶手機里面的文件加密,然后讓人付錢解鎖。Slocker需要通過Tor來復制傳送。
針對手機端最為臭名昭著的廣告聯盟軟件名叫Loki。這個復合型惡意軟件通過幾個不同的組件多管齊下,每一個組件都有其自己的側重點,扮演不同的惡意角色。通過非法廣告來獲取利潤。同時把客戶手機端的信息偷偷發走,并侵入固件獲得手機核心控制權,長期隱秘的在手機端做壞事。
高度建議大家只通過靠譜的軟件市場安裝手機軟件。
以下是本次部分機型,包括三星和 LG 的多款手機,小米 4和紅米、中興 X500、Oppo N3、Vivo X6 Plus、聯想 S90 和 A850等。
研究人員稱,他們并不清楚攻擊者是否專門針對這兩家公司,或者是更廣泛的行動的一部分。
