总的来说,Android 设备在安全性方面的声誉显然参差不齐。虽然操作系统本身和谷歌的 Pixels 多年来一直在抵御软件漏洞,但 Google Play 中永无止境的恶意应用程序流和一些第三方制造商的易受攻击设备已经损害了它的形象。
周四,在两份报告称多款 Android 设备预装了恶意软件后,这一形象进一步受到损害,如果用户不采取英勇措施就无法将其删除。
第一份报告来自安全公司趋势科技。研究人员在新加坡 Black Hat 安全会议上发表的报告中指出,多达 50 个不同品牌的多达 890 万部手机感染了恶意软件。安全公司 Sophos 的研究人员首先记录了Guerrilla,他们将这种恶意软件命名为 Guerrilla,它存在于 Google 允许进入其 Play 市场的 15 种恶意应用程序中。
Guerrilla 打开一个后门,使受感染的设备定期与远程命令和控制服务器通信,以检查是否有任何新的恶意更新可供安装。这些恶意更新收集有关用户的数据,趋势科技称之为 Lemon Group 的威胁行为者可以将这些数据出售给广告商。Guerrilla 然后偷偷安装激进的广告平台,这些平台会耗尽电池储备并降低用户体验。
趋势科技研究人员写道:
虽然我们发现了柠檬集团为大数据、营销、广告公司做的一些业务,但主要业务涉及大数据的利用:分析海量数据和相应的厂商出货特征,从中获取不同的广告内容。不同时间不同用户,硬件数据配合详细软件推送。这使得 Lemon Group 可以监控可能进一步感染其他应用程序的客户,例如专注于仅向来自某些地区的应用程序用户展示广告。
受感染手机最集中的国家是美国,其次是墨西哥、印度尼西亚、泰国和俄罗斯。
Guerrilla 是一个拥有近十几个插件的大型平台,可以劫持用户的 WhatsApp 会话以发送不需要的消息,从受感染的手机建立反向代理以使用受影响移动设备的网络资源,并将广告注入合法应用程序。
不幸的是,趋势科技没有确定受影响的品牌,公司代表也没有回复询问他们的电子邮件。
第二份报告由 TechCrunch 发布。它详细介绍了通过亚马逊销售的几款基于 Android 的电视盒,这些电视盒都带有恶意软件。据报道,这些电视盒是带有h616 的 T95 型号,向命令和控制服务器报告,就像 Guerrilla 服务器一样,可以安装恶意软件创建者想要的任何应用程序。预装在盒子上的默认恶意软件称为 clickbot。它通过在后台偷偷点击广告来产生广告收入。
TechCrunch 引用了Daniel Milisic 的报告(此处和此处),Daniel Milisic 是一位碰巧购买了其中一个受感染盒子的研究员。Milisic 的发现得到了电子前沿基金会研究员 Bill Budington 的独立证实。
不幸的是,出厂时直接带有恶意软件的 Android 设备并不是什么新鲜事。Ars 近年来至少报道过五次此类事件。所有受影响的模型都在预算层中。
Android 手机市场上的人们应该转向三星、华硕或 OnePlus 等知名品牌,这些品牌的库存通常具有更可靠的质量保证控制。迄今为止,从未有过预装恶意软件的高端 Android 设备的报告。iPhone 也同样没有此类报告。