俄罗斯杀毒软件开发商Dr.Web(大蜘蛛)的安全研究人员发现,联想两款手机固件中包含恶意软件,恶意软件会收集设备上的数据,并向设备发送广告。值得注意的是这些受影响的设备中,大部分在俄罗斯销售。
研究人员们发现,某些廉价的Android智能手机和平板中内置了恶意的固件,这些固件会从手机上收集数据,在软件上覆盖广告,还能下载一些无用的软件APK。
研究员调查了俄罗斯市场中销售的MTK平台手机,发现了固件中存在的两种downloader木马。
这两个木马被命名为Android.DownLoader.473.origin和Android.Sprovider.7。他们能够收集手机数据、连接C&C服务器、自动更新、根据指令静默下载安装其他应用、并且能在手机开机时自动运行。
联想A319
联想A6000
MegaFon Login 4 LTE
Irbis TZ85
Irbis TX97
Irbis TZ43
Bravis NB85
Bravis NB105
SUPRA M72KG
SUPRA M729G
SUPRA V2N10
Pixus Touch 7.85 3G
Itell K3300
General Satellite GS700
Digma Plane 9.7 3G
Nomi C07000
Prestigio MultiPad Wize 3021 3G
Prestigio MultiPad PMT5001 3G
Optima 10.1 3G TT1040MG
Marshal ME-711
7 MID
Explay Imperium 8
Perfeo 9032_3G
Ritmix RMD-1121
Oysters T72HM 3G
Irbis tz70
Irbis tz56
Jeka JK103
Dr.Web的研究人员表示,该恶意固件中植入了两种木马下载程序:Android.DownLoader.473.origin和Android.Sprovider.7。
这些木马可进行如下操作:
*收集受感染的手机上存储的数据以及与其相关的数据。
*与命令和控制(C&C)服务器进行通信。
*自动更新软件。
*按照从C&C服务器接收的指令,秘密下载并安装应用。
*在设备开启或重启后自动运行。
在Lenovo A319和Lenovo A6000智能手机中发现的Android.Sprovider.7木马程序可下载、安装和运行APK文件,在浏览器中自动打开特定URL,通过标准的系统应用呼叫特定号码,拨叫特定号码后,会运行该标准应用。此外,该程序还更新另一危险模块。除了以上操作,该固件在所有应用上显示广告,在移动设备主屏幕上创建快捷方式,并在状态栏显示恼人的广告。
在除以上两种型号的其他手机中发现了Android.DownLoader.473.origin。该固件下载并安装了其他恶意软件及其他所需应用。该固件可下载广告程序H5Game Center,在智能手机上运行所有应用上展示小框图片。而且,用户无法禁用此广告程序。即使此应用被卸载,此固件木马程序也会重新安装该应用。