多款廉价Android手机再曝固件后门，联想手机也在其列

之前我们报道过两起Android手机暗藏漏洞的事件，而周一，来自俄罗斯杀软厂商Dr.Web（大蜘蛛）的研究人员又发现了暗藏漏洞的现象。

研究人员们发现，某些廉价的Android智能手机和平板中内置了恶意的固件，这些固件会从手机上收集数据，在软件上覆盖广告，还能下载一些无用的软件APK。

研究员调查了俄罗斯市场中销售的MTK平台手机，发现了固件中存在的两种downloader木马。

这两个木马被命名为Android.DownLoader.473.origin和Android.Sprovider.7。他们能够收集手机数据、连接C&C服务器、自动更新、根据指令静默下载安装其他应用、并且能在手机开机时自动运行。

影响手机列表：

联想A319 联想A6000 MegaFon Login 4 LTE Irbis TZ85 Irbis TX97 Irbis TZ43 Bravis NB85 Bravis NB105 SUPRA M72KG SUPRA M729G SUPRA V2N10 Pixus Touch 7.85 3G Itell K3300 General Satellite GS700 Digma Plane 9.7 3G Nomi C07000 Prestigio MultiPad Wize 3021 3G Prestigio MultiPad PMT5001 3G Optima 10.1 3G TT1040MG Marshal ME-711 7 MID Explay Imperium 8 Perfeo 9032_3G Ritmix RMD-1121 Oysters T72HM 3G Irbis tz70 Irbis tz56 Jeka JK103

研究人员指出“大家都知道网络罪犯通过提高应用的下载量、传播广告软件来赚取收入”，正因因此，两款木马都因为外包商惟利是图而被加入到了Android系统镜像中。

Android.Sprovider.7木马是在联想A319和A6000机型中发现的，这款木马具备以下功能：

下载安装apk文件 在浏览器中打开特定链接 使用标准的系统应用拨打电话 覆盖所有应用显示广告 在状态栏显示广告 添加快捷方式到主屏 更新恶意模块

研究人员在其他设备上发现的木马名为Android.DownLoader.473.origin，它能够安装其他恶意软件，包括一款名为H5GameCenter的广告软件。

H5GameCenter会在所有正在运行的应用上显示一个小图片，用户无法关闭。即便用户卸载该应用，固件中的木马还会自动重装。

笔者建议出现此问题的用户使用杀毒软件扫描设备，随后使用包禁用软件如Debloater禁用相关系统软件。

固件后门屡屡发生

上个月，Kryptowire安全研究人员称，他们发现在美国销售的大量廉价Android手机含有隐藏的后门，这些手机会秘密收集机主信息并发送到中国的服务器。而生产这些固件的广升公司发布公告称，“相关信息采集，仅用于更好地实现产品终端系统的升级和优化服务”。

同样在上月，BitSight公司发现了Ragentek固件中的漏洞，黑客可以利用漏洞以root身份执行恶意代码。

*参考来源：THN & Dr. Web，本文作者：Sphinx，转载请注明来自FreeBuf（FreeBuf.com）