预装在山寨机中的恶意木马

看着刚从手机店里买来的崭新手机,人们往往理所当然地认为新手机如同初生婴儿一般纯洁无暇。但事实不总是如此,最近安全研究人员发现了一枚新的手机预装恶意软件——死亡铃声(DeathRing),金立、海尔、山寨三星等手机中招。

DeathRing主要预装在一些亚洲和非洲国家销售的智能手机之中。尽管检测到的数量并不是很多,但考虑到该木马的预装特性,同时我们在多个地区越发频繁地检测到了它,这使得我们不得不为之忧心。

DeathRing的恶意行为

该木马会伪装成铃声应用,悄悄地从控制服务器下载恶意内容到受害者的手机里。例如,DeathRing能够伪造恶意欺骗短信,骗取攻击者感兴趣的用户个人信息。它还会从诱导用户下载更多的恶意软件,进一步控制受害者的手机和其中的数据。

当满足如下两种情形中的一种时,木马就被激活并开始活动:

已发现感染的机型

目前该恶意程序主要涉及的国家(地区)有越南、印尼、印度、尼日利亚、台湾还有中国大陆。

似曾相识?

今年早些时候,Lookout公司发现了一个名为Mouabad的手机预装恶意软件,它与DeathRing非常相似。Mouabad也是在手机供应链上的某个环节中植入的。Mouabad主要感染的也是亚洲国家。

安全建议

由于该恶意软件属于预装的系统软件,一般难以发现并删除。不过你可以按照下面的建议来确保相对安全: