研究人员在俄罗斯销售的便宜功能机中发现了预安装的恶意软件。
俄罗斯安全研究人员ValdikSS在俄罗斯销售的4款低价功能机中发现了预安装的恶意软件。这四款功能分别是DEXP SD2810、Itel it2160、Irbis SF63和 F+ Flip 3。
研究人员发现许多功能机中含有一些用户并不想要的功能,比如自动发送SMS消息、传输购买数据或手机信息,如IMEI、SIM卡IMSI等。
通过深入分析,研究人员发现了其中内置的木马恶意软件可以发送付费SMS信息给一些短号码,其他设备中包含有发送收到的SMS消息给攻击者控制的服务器的后门。
研究人员分析了功能机的固件,并搭建了一个2G基站来拦截和分析设备的通信。研究人员分析了5个型号的设备,其中Inoi 101不含有恶意软件。下面是测试的设备和对应的恶意行为:
◼Itel it2160:该设备会传输设备型号、固件版本、语言、激活时间、基站ID(LAC/TAC)等信息到域名asv.transsion.com。研究人员还发现在该服务器上有一个面板包含有销售的设备信息。
◼F+ Flip 3:该设备会通过向+79584971255发送包含IMEI和IMSI消息的SMS消息来报告销售信息。
◼DEXP SD2810:研究人员发现虽然设备中并没有安装浏览器,但该设备仍然可以连接到GPRS。该设备还会发送sal、IMEI、IMSI等信息,并可以向互联网C2打电话和执行命令。此外,设备还会发送付费SMS消息给从服务器获得的短号码。
◼SF63:该设备也没有安装浏览器,但也会通过GPRS上网来通知远程服务器设备激活信息。该设备会发送手机号和在线注册账号给远程服务器,设备还会提取和执行来自远程服务器的命令(hwwap.well2266.com)。
完整研究报告参见:https://habr.com/ru/post/575626/
本文翻译自:https://securityaffairs.co/wordpress/121887/mobile-2/push-button-mobile-phones-malware.html如若转载,请注明原文地址。
