功能机中也有恶意软件

研究人员在俄罗斯销售的便宜功能机中发现了预安装的恶意软件。

俄罗斯安全研究人员ValdikSS在俄罗斯销售的4款低价功能机中发现了预安装的恶意软件。这四款功能分别是DEXP SD2810、Itel it2160、Irbis SF63和 F+ Flip 3。

研究人员发现许多功能机中含有一些用户并不想要的功能，比如自动发送SMS消息、传输购买数据或手机信息，如IMEI、SIM卡IMSI等。

通过深入分析，研究人员发现了其中内置的木马恶意软件可以发送付费SMS信息给一些短号码，其他设备中包含有发送收到的SMS消息给攻击者控制的服务器的后门。

研究人员分析了功能机的固件，并搭建了一个2G基站来拦截和分析设备的通信。研究人员分析了5个型号的设备，其中Inoi 101不含有恶意软件。下面是测试的设备和对应的恶意行为：

◼Itel it2160：该设备会传输设备型号、固件版本、语言、激活时间、基站ID（LAC/TAC）等信息到域名asv.transsion.com。研究人员还发现在该服务器上有一个面板包含有销售的设备信息。

◼F+ Flip 3：该设备会通过向+79584971255发送包含IMEI和IMSI消息的SMS消息来报告销售信息。

◼DEXP SD2810：研究人员发现虽然设备中并没有安装浏览器，但该设备仍然可以连接到GPRS。该设备还会发送sal、IMEI、IMSI等信息，并可以向互联网C2打电话和执行命令。此外，设备还会发送付费SMS消息给从服务器获得的短号码。

◼SF63：该设备也没有安装浏览器，但也会通过GPRS上网来通知远程服务器设备激活信息。该设备会发送手机号和在线注册账号给远程服务器，设备还会提取和执行来自远程服务器的命令（hwwap.well2266.com）。

完整研究报告参见：https://habr.com/ru/post/575626/