Het duitse Federale Bureau voor informatiebeveiliging (of het duitse Bundesamt für Sicherheit in der Informationstechnik — BSI) heeft uitgegeven veiligheid waarschuwingen vandaag waarschuwing over gevaarlijke backdoor malware gevonden ingebed in de firmware van ten minste vier modellen van smartphones verkocht in het land.
Beïnvloed modellen zijn voorzien van de Doogee BL7000, de M-Paard Pure 1, de Keecoo P11, en de VKworld Mix Plus (malware aanwezig is in de firmware, maar niet actief). Alle vier zijn low-end Android-smartphones.
Telefoons besmet met trojaans paard
De BSI zei de telefoons’ firmware bevat een trojaans paard met de naam Pro/Xgen2-CY.
VERZENDING cyber-beveiligingsbedrijf Sophos Labs voor het eerst gespot deze malware stam in oktober 2018. In een rapport gepubliceerd in de tijd, Sophos, zei de malware werd ingesloten in een app met de naam SoundRecorder, die standaard op uleFone S8 Pro-smartphones.
Sophos zei Loc/Xgen2-CY is ontworpen om te werken als een onverwijderbaar achterdeur op de besmette telefoons.
De malware basic ontwerp was om te beginnen met lopen zodra de telefoon is ingeschakeld, het verzamelen van informatie over een geïnfecteerde telefoon, ping terug naar de command-and-control-server, en wacht voor de toekomst instructies.
Volgens Sophos, Pro/Xgen2-CY kan gegevens verzamelen, zoals:
Het apparaat met de telefoon numberLocation informatie, met inbegrip van lengte, breedte, en een straat addressIMEI id en Android IDScreen resolutionManufacturer, model, merk, OS versionCPU informationNetwork typeMAC addressRAM en ROM sizeSD Kaart sizeLanguage en countryMobile telefoon service provider
Als er eenmaal een profiel van een geïnfecteerde telefoon werd geregistreerd op de aanvaller de server, kunnen ze gebruik maken van de malware:
Download en installeer appsUninstall appsExecute shell commandsOpen URL in de browser (hoewel deze functie bleek een werk in uitvoering in de steekproef die wij geanalyseerd)
Het verwijderen van Malware “niet mogelijk”
De malware is niet alleen wat overdreven agressieve reclame-module van beide. Sophos zei de auteur probeerde te verbergen de kwaadaardige code, en de achterdeur was vermomd als onderdeel van een Android-ondersteuning van de bibliotheek, op een manier die bedoeld is om te verbergen in de weergave.
“Handmatig verwijderen van de malware is niet mogelijk vanwege de verankering in de interne omgeving van de firmware,” de BSI zei vandaag.
De malware kan worden verwijderd via een firmware update uitgegeven door de telefoon makers. Helaas, firmware-updates, zonder het schadelijke backdoor zijn alleen beschikbaar voor de Keecoo P11 model, maar niet de anderen.
De duitse cyber-security agency zei het zien van minstens 20.000 duitse-gebaseerde IP-adressen die aansluiten op de Loc/Xgen2-CY ‘ s command and control servers op een dagelijkse basis, wat suggereert dat er nog steeds veel duitse gebruikers die gebruik maken van de besmette telefoons voor de dagelijkse taken. Gebruikers in andere landen zijn het meest waarschijnlijk beïnvloed als goed.
De BSI waarschuwt dat de gebruikers van deze apparaten zijn nu op het risico van het hebben van andere malware geduwd om hun apparaten van de malware-control-servers, zoals ransomware, trojaanse paarden, of adware.
Een lange lijst van eerdere incidenten
Dit is niet het eerste incident in zijn soort. In November 2016, twee rapporten van Kryptowire Anubis en Netwerken, twee Chinese bedrijven die het maken van firmware-onderdelen voor grotere Chinese telefoon makers waren het inbedden van een backdoor functionaliteit in hun code.
In December 2016, veiligheid onderzoekers van Dr. Web gevonden een downloader voor Android-malware ingebed in de firmware van 26 Android-smartphone modellen.
In juli 2017, Dr. Web gevonden versies van de Triada banking trojan verborgen in de firmware van de verschillende Android-smartphones.
In Maart 2018, dezelfde Dr. Web te vinden hetzelfde Triada trojan ingebed in de firmware van de 42 andere Android-smartphone modellen.
In Mei 2018, Avast onderzoekers vonden de Cosiloon backdoor trojan in de firmware van 141 Android smartphoness.
In alle incidenten, alle smartphone-modellen waren van weinig bekende leveranciers verkopen van low-end klasse Android-apparaten.
Gerelateerde malware en cybercriminaliteit dekking:
Hollywood liggen: Bank hacks maanden in beslag nemen, niet seconds440 miljoen Android-gebruikers geïnstalleerde apps met een agressieve reclame pluginNew HiddenWasp malware gevonden targeting Linux systemsGandCrab ransomware operatie zegt dat het afsluiten van downI2P netwerk voorgesteld als de volgende schuilplaats voor criminele operationsNew Iraanse hack tool gelekt op TelegramThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters