Den tyska Federala Byrån för informationssäkerhet (eller Bundesamt für Sicherheit i der Informationstechnik — BSI) har utfärdat varningar säkerhet idag varning om farliga bakdörr för skadlig kod som finns inbäddade i den fasta programvaran i minst fyra smartphone-modeller som säljs i landet.
Negativt modeller inkluderar Doogee BL7000, M-Häst Ren 1, Keecoo P11, och VKworld Mix Plus (sabotageprogram i firmware, men inaktiva). Alla fyra är low-end Android smartphones.
Telefoner infekterade med backdoor trojan
BSI sa telefoner ” firmware innehöll en bakdörr trojan som heter Andr/Xgen2-CY.
BRITTISKA it-säkerhetsföretaget Sophos Labs först såg denna malware stam i oktober 2018. I en rapport som publicerades vid den tiden, Sophos sade malware var inbäddade inuti en app som heter SoundRecorder, ingår som standard på uleFone S8 Pro smartphones.
Sophos sade Andr/Xgen2-CY var avsedd att fungera som en unremovable bakdörr på infekterade telefoner.
Malware är den grundläggande designen var att börja köra när telefonen var påslagen, samla information om en smittad telefon, ping tillbaka sitt kommando-och-kontroll-server, och vänta för framtida uppdrag.
Enligt Sophos, Andr/Xgen2-CY kan samla in data såsom:
Enheten telefon numberLocation information, inklusive longitud, latitud, och en gata addressIMEI identifierare och Android IDScreen resolutionManufacturer, modell, märke, OS versionCPU informationNetwork typeMAC addressRAM och ROM sizeSD Kort sizeLanguage och countryMobile telefon tjänsteleverantör
När en profil av en infekterad telefonen var registrerade på angriparens server, att de kunde använda skadlig kod till:
Ladda ner och installera appsUninstall appsExecute skal commandsOpen URL i webbläsaren (om denna funktion föreföll att vara i arbete i provet vi analyserade)
Borttagning av skadlig programvara “inte möjligt”
Malware är inte bara några alltför aggressiv reklam modul heller. Sophos säger författaren försökt att dölja skadlig kod, och bakdörr var förklädd som en del av ett stöd för Android bibliotek, på ett sätt som innebar att dölja den för.
“Manuell borttagning av skadlig kod är inte möjligt tack vare sin förankring i den inre delen av firmware,” BSI sade i dag.
Malware kan tas bort bara via en firmware-uppdatering som utfärdats av telefonen beslutsfattare. Tyvärr, firmware-uppdateringar utan att den skadliga bakdörr är endast tillgänglig för Keecoo P11 modell, men inte den andra.
Den tyska cyber-security agency sa att det ser minst 20 000 tyska-baserade IP-adresser att ansluta till Andr/Xgen2-CY: s ledning och styrning av servrar på en daglig basis, vilket tyder på att det finns fortfarande många tyska användare som använder infekterade telefoner för de dagliga arbetsuppgifterna. Användare i andra länder som är mest sannolikt påverkas också.
BSI varnar för att användare av dessa enheter är nu i riskzonen för att ha andra skadliga program skjuts till deras enheter från malware-kontroll-servrar, till exempel ransomware, banktrojaner, eller adware.
En lång lista av tidigare incidenter
Detta är inte den första händelsen av sitt slag. I November 2016, två rapporter från Kryptowire och Anubis Nätverk, hittade två Kinesiska företag som att firmware komponenter för större Kinesiska beslutsfattare telefonen var bädda in en backdoor-liknande funktionalitet inne i deras kod.
I December 2016, säkerhet forskare från Dr. Web finns en downloader för Android-malware som är inbäddade i den fasta programvaran för 26 Android-smartphone-modeller.
I juli 2017, Dr. Web finns versioner av Triada bank trojan dolt i den fasta programvaran i flera Android-smartphones.
I Mars 2018, samma Dr. Web har hittat samma Triada trojan inbäddade i den fasta programvaran för 42 en annan Android-smartphone-modeller.
I Maj 2018, Avast forskare hittat Cosiloon backdoor trojan i firmware 141 Android smartphoness.
I alla händelser, alla smartphone-modeller från mindre kända leverantörer som säljer low-end klass Android-enheter.
Relaterade skadliga program och it-brottslighet täckning:
Hollywood lögn: Bank hacka ta månader, inte seconds440 miljoner Android-användare har installerat appar med en aggressiv reklam pluginNew HiddenWasp skadlig programvara som finns med inriktning Linux systemsGandCrab ransomware drift säger att det är att stänga downI2P nätverk, som föreslås bli nästa gömma plats för kriminella operationsNew Iranska hacking verktyg som läckt ut på TelegramThe mörka webben är mindre, och kan vara mindre farligt, än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter