信息來源：FreeBuf

CheckPoint的專家們最近在38臺Android設(shè)備中發(fā)現(xiàn)了嚴(yán)重的感染情況，這38臺設(shè)備屬于一家大型通訊公司和一家跨國科技企業(yè)。重點是這些惡意軟件并不是用戶主動安裝的，而是在購買時就預(yù)裝的——雖然并不是廠商的官方固件。

研究人員在報告中指出，惡意軟件在用戶收到手機之前就已經(jīng)預(yù)裝。這些惡意軟件并不是在廠商官方ROM中的，而是在供應(yīng)鏈中的某個環(huán)節(jié)被裝上了。更可怕的是，有6款惡意軟件是利用了系統(tǒng)權(quán)限裝到設(shè)備上的，也就是說除非刷機，用戶無法移除軟件。

其中有6臺設(shè)備內(nèi)置了惡意廣告網(wǎng)絡(luò)，apk為com.google.googlesearch；

其他設(shè)備中存在Loki惡意軟件，apk為com.androidhelper.sdk。

研究人員們發(fā)現(xiàn)的預(yù)裝惡意軟件大部分都是收集信息、散播廣告的，不過其中一款是Slocker。這款軟件是移動端的勒索軟件。Slocker使用AES加密算法加密設(shè)備上所有設(shè)備，并且向用戶索要贖金換取解密密鑰。Slocker會使用Tor作為C&C服務(wù)器。

而Loki惡意軟件也值得一提。這款軟件非常復(fù)雜，能夠使用多個組件運行，每個組件都有其自己的功能和角色。這款軟件會顯示非法的廣告獲取收入。程序還會竊取設(shè)備數(shù)據(jù)、安裝到系統(tǒng)，從而獲得手機全部權(quán)限并常駐手機。

影響范圍

預(yù)裝惡意軟件的機型包括：

Galaxy Note 2

LG G4

Galaxy S7

Galaxy S4

Galaxy Note 4

Galaxy Note 5

Galaxy Note 8.0

Xiaomi Mi 4i

Galaxy A5

ZTE x500

Galaxy Note 3

Galaxy Note Edge

Galaxy Tab S2

Galaxy Tab 2

Oppo N3

Vivo X6 plus

Nexus 5

Nexus 5X

Asus Zenfone 2

Lenovo S90

OppoR7 plus

Xiaomi Redmi

Lenovo A850

涵蓋的廠商包括三星、LG、小米、中興、Oppo、Vivo、華碩、聯(lián)想。

預(yù)裝軟件的危害

一般來說，用戶要防范的是存在風(fēng)險的網(wǎng)站，以及注意通過官方渠道和認(rèn)證的應(yīng)用商店下載應(yīng)用。但是，僅僅這些防范不了本案中的這些惡意軟件。預(yù)裝的軟件即便是對那些有安全意識的用戶來說也是防不勝防。另外一個收到預(yù)裝有惡意軟件的用戶很難察覺到其中的端倪。因此，從正規(guī)渠道購買手機也就成為需要注意的問題，這樣才不致如上面這些手機一樣，在非正規(guī)供貨渠道預(yù)裝惡意程序。

事實上，預(yù)裝惡意軟件事件是第一次了，有時候甚至是廠商預(yù)裝的。過去安全專家們曾經(jīng)多次報道過有關(guān)預(yù)裝惡意軟件的案例。2015年9月，G-Data的安全專家們發(fā)現(xiàn)了中國的Android設(shè)備中存在的預(yù)裝惡意軟件。2016年12月Doctor Web的專家們在多款廉價Android智能手機和平板的固件中發(fā)現(xiàn)了新的木馬。

這些惡意代碼往往會控制感染設(shè)備，讓受害者下載、安裝、執(zhí)行惡意軟件，從而訪問數(shù)據(jù)、撥打高額手機號碼。

*參考來源：CheckPoint，本文作者：Sphinx，轉(zhuǎn)載請注明來自FreeBuf（FreeBuf.COM）