安全公司Malware bytes今天在一份报告中称,通过政府补贴的计划向低收入美国人出售的低端智能手机包含不可移动的恶意软件。
智能手机型号为Unimax(UMX)U686CL,这是一种在中国生产的低端基于Android的智能手机,由维珍移动集团的手机服务提供商Assurance Wireless出售。
这家电信公司出售Lifeline的一部分手机,Lifeline是一项政府计划,为低收入美国人提供电话服务补贴。
Malwarebytes在今天发布的一份报告中说:“在2019年末,我们在支持系统中收到几起用户投诉,政府发布了一份电话,报告说其某些预装应用程序是恶意的。”
该公司表示已购买了UMX U686CL智能手机,并对其进行了分析以确认其收到的报告。
ADUPS后门
首先,Malwarebytes表示发现手机的一个组件,一个名为Wireless Update的应用程序,包含Adups恶意软件。
该Adups恶意软件是在2017年发现了Kryptowire,这是中国公司相同的名称创建一个恶意固件的部分。
Adups向各种智能手机制造商和固件供应商提供该组件作为空中固件(FOTA)更新系统。
该组件原本应该允许固件供应商更新其代码,但是在2017年,Kryptowire团队发现Adups(该公司)还能够绕过智能手机供应商和用户向用户的手机提供更新。
Malwarebytes表示,该组件当前在UMX设备上使用,并且在用户不知情的情况下被用于安装应用程序。谁仍不清楚。
Malwarebytes小组说:“从您登录到移动设备[UMX U686CL]开始,无线更新就开始自动安装应用程序。” “重复一遍:没有征得用户的同意,没有单击要接受安装的按钮,它
只是自行安装应用程序。
“虽然最初安装的应用程序是干净的,并且没有恶意软件,但
要注意的是,这些应用程序是在用户零通知或用户许可的情况下添加到设备上的。这为恶意软件在不知不觉中的未来安装中提供了潜力随时通过无线更新添加的任何应用。”
滴管导致广告软件
但是,Malwarebytes表示,这些手机中包含第二个危险组件。研究人员表示,他们还在手机的“设置”应用中发现了可疑代码。
Malwarebytes说,该应用程序似乎被严重混淆的恶意软件所污染,该恶意软件被认为是中文起源的,原因是大量使用汉字作为变量名。
安全研究人员表示,此恶意软件被编码为充当第二阶段恶意软件有效载荷的滴管,后者是一种众所周知的广告软件,称为HiddenAds。
Malwarebytes说:“尽管我们还没有自己复制掉其他恶意软件的下落,但我们的用户报告说,确实确实在他们的UMX移动设备上突然安装了一个HiddenAds变体。”
无法移动
Malwarebytes研究人员表示,他们无法确认Unimax是将恶意软件添加到设备中的一方。
这可能是另一种情况,其中智能手机的供应链中涉及的第三方将恶意软件添加到设备中,而这些设备则从手机制造商转移到购买者。
Malwarebytes表示,尽管该设备“不是一部坏手机”,但两个受恶意软件感染的应用程序的存在使智能手机变得一文不值,甚至对其用户构成危险。
更糟糕的是,这两个恶意应用程序不可删除。
尽管用户可以禁用和卸载Wireless Update应用程序,但这将导致手机丢失其固件组件的关键安全更新-至少在您希望使设备保持最新状态的情况下,这实际上使该应用程序不可删除。
另一方面,“设置”应用程序实际上是不可删除的,因为无法删除该应用程序,即使您删除了该应用程序,也将无法再对其进行管理。
Malwarebytes表示已将发现的发现告知了Assurance Wireless,但从未回音。
在给ZDNet的一份声明中,Assurance Wireless表示,他们“已意识到此问题,并与设备制造商Unimax保持联系,以了解根本原因,但是,在我们进行初步测试后,我们认为媒体中描述的应用程序不是恶意软件。 ”