Firmware najmanje četiri jeftina Android telefona zaražen je malware-om

Nemačka Federalna kancelarija za informacionu bezbednost (BSI) objavila je upozorenje o opasnom malware-u ugrađenom u firmver najmanje četiri jeftina modela Android telefona koji se prodaju u ovoj državi. U pitanju su telefoni Doogee BL7000, M-Horse Pure 1, Keecoo P11 i VKworld Mix Plus (kod koga je malware pronađen, ali nije aktivan).

Ovo su sve jeftini, tzv. entry level Android telefoni sa cenama koje su niže od 100 evra. U njima je pronađen backdoor trojanac Andr/Xgen2-CY. Prvi izveštaj o ovom malware-u objavio je Sophos Labs u oktobru 2018. godine. U tom izveštaju navedeno je da se on nalazi skriven u aplikaciji SoundRecorder, koja se nalazi preinstalirana u velikom broju Android telefona.

Malware se aktivira odmah po startovanju telefona i prikuplja podatke sa njega, koje šalje komandnom serveru i čeka dalje instrukcije. Podaci koje prikuplja tiču se brojeva telefona koji se pozivaju, informacije o lokacijama, IMEI brojevi i Andorid ID, rezolucija ekrana, proizvođač, brend i model telefona, verzija OS-a koju koristi, informacije o procesoru i mreži, MAC adrese, veličini RAM-a, mobilnom provajderu…

Pročitajte i:  Pet saveta kako da ubrzate svoju internet konekciju

Kada se profil inficiranog telefona registruje na serveru napadača, on može da iskoristi ovaj malware za instaliranje i deinstaliranje aplikacija na zaraženom telefonu, izvršavanje shell komandi i otvara adrese u browser-u telefona. Ovaj trojanac je dizajniran tako da ne može da se ručno ukloni sa inficiranih telefona, jer se „zavlači“ u interni deo fimware-a. Jedini način za njegovo uklanjanje je update firmware-a, što kod jeftinih telefona teško da može da se očekuje. Uostalom, novi (čist) firmware, od pomenutih modela postoji samo za Keecoo P11.

Sreća u nesreći je što se radi o malo poznatim telefonima, pa se relativno mali broj korisnika odlučio da ih kupi. BSI tvrdi da je otkriveno da se na dnevnom nivou na Andr/Xgen2-CY komandni server dnevno konektuje oko 20.000 nemačkih IP adresa, što bi odgovaralo broju korisnika zaraženih telefona. Istovremeno, BSI upozorava korisnike tih uređaja da su u opasnosti i od moguće instalacije novih malicioznih programa, koji bi mogli da budu trojanci koji će ciljati na bankarske usluge, ransomware ili adware.

Pročitajte i:  Lažni VPN web sajtovi i širenje malvera

Izvor: ZDNet

Facebook komentari:

SBB

Disaster recovery
Tagovi: , , , ,