功能机中也有恶意软件 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

功能机中也有恶意软件

ang010ela 恶意软件 2021-09-09 11:55:00
643850
收藏

导语:​研究人员在俄罗斯销售的便宜功能机中发现了预安装的恶意软件。

研究人员在俄罗斯销售的便宜功能机中发现了预安装的恶意软件。

俄罗斯安全研究人员ValdikSS在俄罗斯销售的4款低价功能机中发现了预安装的恶意软件。这四款功能分别是DEXP SD2810、Itel it2160、Irbis SF63和 F+ Flip 3。

研究人员发现许多功能机中含有一些用户并不想要的功能,比如自动发送SMS消息、传输购买数据或手机信息,如IMEI、SIM卡IMSI等。

通过深入分析,研究人员发现了其中内置的木马恶意软件可以发送付费SMS信息给一些短号码,其他设备中包含有发送收到的SMS消息给攻击者控制的服务器的后门。

研究人员分析了功能机的固件,并搭建了一个2G基站来拦截和分析设备的通信。研究人员分析了5个型号的设备,其中Inoi 101不含有恶意软件。下面是测试的设备和对应的恶意行为:

◼Itel it2160:该设备会传输设备型号、固件版本、语言、激活时间、基站ID(LAC/TAC)等信息到域名asv.transsion.com。研究人员还发现在该服务器上有一个面板包含有销售的设备信息。

◼F+ Flip 3:该设备会通过向+79584971255发送包含IMEI和IMSI消息的SMS消息来报告销售信息。

Отправка сообщения с IMEI и IMSI на номер 79584971255

◼DEXP SD2810:研究人员发现虽然设备中并没有安装浏览器,但该设备仍然可以连接到GPRS。该设备还会发送sal、IMEI、IMSI等信息,并可以向互联网C2打电话和执行命令。此外,设备还会发送付费SMS消息给从服务器获得的短号码。

Факт отправки SMS-сообщения, захваченный через собственную GSM-сеть.

◼SF63:该设备也没有安装浏览器,但也会通过GPRS上网来通知远程服务器设备激活信息。该设备会发送手机号和在线注册账号给远程服务器,设备还会提取和执行来自远程服务器的命令(hwwap.well2266.com)。

Скриншот диалога с зарегистрированным в Telegram номером телефона. На том конце сообщают, что номер куплен на сайте numbersell.com

完整研究报告参见:https://habr.com/ru/post/575626/

本文翻译自:https://securityaffairs.co/wordpress/121887/mobile-2/push-button-mobile-phones-malware.html如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务