Det tyske forbundskontor for informationssikkerhed (eller Bundesamt für Sicherheit in der Informationstechnik — BSI), der har udstedt sikkerhedsadvarsler i dag advarsel om farlig bagdør for malware, der er fundet integreret i firmware på mindst fire smartphone modeller, der sælges i landet.
Påvirket modeller omfatter Doogee BL7000, M-Hest Ren 1, Keecoo P11, og VKworld Mix Plus (malware til stede i den firmware, men inaktive). Alle fire er low-end Android smartphones.
Telefoner, der er inficeret med backdoor trojan
BSI sagde telefoner ” firmware indeholdt en backdoor trojan ved navn Andr/Xgen2-CY.
BRITISKE it-sikkerhedsfirma Sophos Labs først set denne malware stamme i oktober 2018. I en rapport, der er offentliggjort på det tidspunkt, Sophos sagde malware var indlejret inde i en app ved navn SoundRecorder, som er inkluderet som standard på uleFone S8 Pro smartphones.
Sophos sagde Andr/Xgen2-CY blev designet til at fungere som en unremovable bagdør på inficerede telefoner.
Malware er grundlæggende design var til at begynde at køre, når telefonen er tændt, at indsamle oplysninger om en inficeret telefon, ping tilbage til sin kommando og kontrol-server, og vente til senere instruktioner.
Ifølge Sophos, Andr/Xgen2-CY kunne indsamle data såsom:
Enheden telefon numberLocation oplysninger, herunder længde, bredde, og en gade addressIMEI id og Android IDScreen resolutionManufacturer, model, mærke, OS versionCPU informationNetwork typeMAC addressRAM og ROM sizeSD Kort sizeLanguage og countryMobile telefon udbyder
Når en profil af en inficeret telefonen var registreret på hackerens server, kan de bruge malware til:
Download og installere appsUninstall appsExecute shell commandsOpen WEBADRESSE i browser (selvom denne funktion viste sig at være et arbejde i gang i den stikprøve vi har analyseret)
Malware fjernelse “er ikke muligt.”
Malware er ikke bare nogle alt for aggressive reklame-modulet. Sophos sagde, at dens forfatter har forsøgt at skjule ondsindet kode, og bagdør blev forklædt som en del af en Android-support library, på en måde, der betød at skjule det.
“Manuel fjernelse af malware er ikke muligt på grund af sin forankring i det indre område af firmware,” BSI sagde i dag.
Den malware kan fjernes blot via en firmware opdatering, der er udstedt af telefonen beslutningstagere. Desværre, firmware opdateringer uden ondsindet bagdør er kun tilgængelig for Keecoo P11 model, men ikke de andre.
Den tyske cyber-security agency sagde, at det ser mindst 20.000 tysk-baserede IP-adresser tilslutning til Andr/Xgen2-CY ‘ s kommando-og kontrol-servere på en daglig basis, hvilket tyder på, at der stadig er mange tyske brugere, der bruger den inficerede telefoner til de daglige opgaver. Brugere i andre lande er sandsynligvis haft så godt.
BSI advarer om, at brugerne af disse enheder er nu i risiko for at have andre malware skubbet til deres enheder fra malware ‘ s kontrol-servere, som ransomware, banking trojanske heste, eller adware.
En lang liste af tidligere hændelser
Dette er ikke den første episode af sin slags. I November 2016, to rapporter fra Kryptowire og Anubis Netværk, har fundet to Kinesiske selskaber, der var ved at lave firmware komponenter til større Kinesisk telefon beslutningstagere var indlejring af en bagdør-lignende funktionalitet inde i deres kode.
I December 2016, sikkerhed forskere fra Dr. Web fundet en downloader til Android-malware, der er indlejret i firmwaren af 26 Android smartphone-modeller.
I juli 2017, Dr. Web fundet versioner af Triada banking trojanske skjult i firmwaren af flere Android-smartphones.
I Marts 2018, den samme Dr. Web fundet den samme Triada trojan integreret i firmware 42 andre Android smartphone-modeller.
I Maj 2018, Avast fandt forskerne Cosiloon backdoor trojan i firmwaren af 141 Android smartphoness.
I alle tilfælde, alle smartphone-modeller fra kendte leverandører sælger low-end klassen Android-enheder.
Relaterede malware og it-kriminalitet dækning:
Hollywood løgn: Bank hacks tage måneder, ikke seconds440 millioner Android-brugere har installeret apps med en aggressiv reklame pluginNew HiddenWasp malware, der er fundet rettet mod Linux systemsGandCrab ransomware operation siger, at det er lukke downI2P netværk, der foreslås som næste skjule sted for kriminelle operationsNew Iranske hacking værktøj lækket på TelegramThe dark web er mindre, og kan være mindre farligt, end vi tror, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre