研究人員在俄羅斯銷售的便宜功能機(jī)中發(fā)現(xiàn)了預(yù)安裝的惡意軟件。

俄羅斯安全研究人員ValdikSS在俄羅斯銷售的4款低價(jià)功能機(jī)中發(fā)現(xiàn)了預(yù)安裝的惡意軟件。這四款功能分別是DEXP SD2810、Itel it2160、Irbis SF63和 F+ Flip 3。

[[422857]]

研究人員發(fā)現(xiàn)許多功能機(jī)中含有一些用戶并不想要的功能，比如自動(dòng)發(fā)送SMS消息、傳輸購(gòu)買數(shù)據(jù)或手機(jī)信息，如IMEI、SIM卡IMSI等。

通過(guò)深入分析，研究人員發(fā)現(xiàn)了其中內(nèi)置的木馬惡意軟件可以發(fā)送付費(fèi)SMS信息給一些短號(hào)碼，其他設(shè)備中包含有發(fā)送收到的SMS消息給攻擊者控制的服務(wù)器的后門。

研究人員分析了功能機(jī)的固件，并搭建了一個(gè)2G基站來(lái)攔截和分析設(shè)備的通信。研究人員分析了5個(gè)型號(hào)的設(shè)備，其中Inoi 101不含有惡意軟件。下面是測(cè)試的設(shè)備和對(duì)應(yīng)的惡意行為：

◼Itel it2160：該設(shè)備會(huì)傳輸設(shè)備型號(hào)、固件版本、語(yǔ)言、激活時(shí)間、基站ID(LAC/TAC)等信息到域名asv.transsion.com。研究人員還發(fā)現(xiàn)在該服務(wù)器上有一個(gè)面板包含有銷售的設(shè)備信息。

◼F+ Flip 3：該設(shè)備會(huì)通過(guò)向+79584971255發(fā)送包含IMEI和IMSI消息的SMS消息來(lái)報(bào)告銷售信息。

◼DEXP SD2810：研究人員發(fā)現(xiàn)雖然設(shè)備中并沒(méi)有安裝瀏覽器，但該設(shè)備仍然可以連接到GPRS。該設(shè)備還會(huì)發(fā)送sal、IMEI、IMSI等信息，并可以向互聯(lián)網(wǎng)C2打電話和執(zhí)行命令。此外，設(shè)備還會(huì)發(fā)送付費(fèi)SMS消息給從服務(wù)器獲得的短號(hào)碼。

◼SF63：該設(shè)備也沒(méi)有安裝瀏覽器，但也會(huì)通過(guò)GPRS上網(wǎng)來(lái)通知遠(yuǎn)程服務(wù)器設(shè)備激活信息。該設(shè)備會(huì)發(fā)送手機(jī)號(hào)和在線注冊(cè)賬號(hào)給遠(yuǎn)程服務(wù)器，設(shè)備還會(huì)提取和執(zhí)行來(lái)自遠(yuǎn)程服務(wù)器的命令(hwwap.well2266.com)。

完整研究報(bào)告參見：https://habr.com/ru/post/575626/

本文翻譯自：https://securityaffairs.co/wordpress/121887/mobile-2/push-button-mobile-phones-malware.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。