功能机中也有恶意软件 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

功能机中也有恶意软件

ang010ela 恶意软件 2021-09-09 11:55:00
收藏

导语:​研究人员在俄罗斯销售的便宜功能机中发现了预安装的恶意软件。

研究人员在俄罗斯销售的便宜功能机中发现了预安装的恶意软件。

俄罗斯安全研究人员ValdikSS在俄罗斯销售的4款低价功能机中发现了预安装的恶意软件。这四款功能分别是DEXP SD2810、Itel it2160、Irbis SF63和 F+ Flip 3。

研究人员发现许多功能机中含有一些用户并不想要的功能,比如自动发送SMS消息、传输购买数据或手机信息,如IMEI、SIM卡IMSI等。

通过深入分析,研究人员发现了其中内置的木马恶意软件可以发送付费SMS信息给一些短号码,其他设备中包含有发送收到的SMS消息给攻击者控制的服务器的后门。

研究人员分析了功能机的固件,并搭建了一个2G基站来拦截和分析设备的通信。研究人员分析了5个型号的设备,其中Inoi 101不含有恶意软件。下面是测试的设备和对应的恶意行为:

◼Itel it2160:该设备会传输设备型号、固件版本、语言、激活时间、基站ID(LAC/TAC)等信息到域名asv.transsion.com。研究人员还发现在该服务器上有一个面板包含有销售的设备信息。

◼F+ Flip 3:该设备会通过向+79584971255发送包含IMEI和IMSI消息的SMS消息来报告销售信息。

Отправка сообщения с IMEI и IMSI на номер 79584971255

◼DEXP SD2810:研究人员发现虽然设备中并没有安装浏览器,但该设备仍然可以连接到GPRS。该设备还会发送sal、IMEI、IMSI等信息,并可以向互联网C2打电话和执行命令。此外,设备还会发送付费SMS消息给从服务器获得的短号码。

Факт отправки SMS-сообщения, захваченный через собственную GSM-сеть.

◼SF63:该设备也没有安装浏览器,但也会通过GPRS上网来通知远程服务器设备激活信息。该设备会发送手机号和在线注册账号给远程服务器,设备还会提取和执行来自远程服务器的命令(hwwap.well2266.com)。

Скриншот диалога с зарегистрированным в Telegram номером телефона. На том конце сообщают, что номер куплен на сайте numbersell.com

完整研究报告参见:https://habr.com/ru/post/575626/

本文翻译自:https://securityaffairs.co/wordpress/121887/mobile-2/push-button-mobile-phones-malware.html如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论