研究人員在俄羅斯銷售的便宜功能機中發現了預安裝的惡意軟件。

俄羅斯安全研究人員ValdikSS在俄羅斯銷售的4款低價功能機中發現了預安裝的惡意軟件。這四款功能分別是DEXP SD2810、Itel it2160、Irbis SF63和 F+ Flip 3。

[[422857]]

研究人員發現許多功能機中含有一些用戶并不想要的功能，比如自動發送SMS消息、傳輸購買數據或手機信息，如IMEI、SIM卡IMSI等。

通過深入分析，研究人員發現了其中內置的木馬惡意軟件可以發送付費SMS信息給一些短號碼，其他設備中包含有發送收到的SMS消息給攻擊者控制的服務器的后門。

研究人員分析了功能機的固件，并搭建了一個2G基站來攔截和分析設備的通信。研究人員分析了5個型號的設備，其中Inoi 101不含有惡意軟件。下面是測試的設備和對應的惡意行為：

◼Itel it2160：該設備會傳輸設備型號、固件版本、語言、激活時間、基站ID(LAC/TAC)等信息到域名asv.transsion.com。研究人員還發現在該服務器上有一個面板包含有銷售的設備信息。

◼F+ Flip 3：該設備會通過向+79584971255發送包含IMEI和IMSI消息的SMS消息來報告銷售信息。

◼DEXP SD2810：研究人員發現雖然設備中并沒有安裝瀏覽器，但該設備仍然可以連接到GPRS。該設備還會發送sal、IMEI、IMSI等信息，并可以向互聯網C2打電話和執行命令。此外，設備還會發送付費SMS消息給從服務器獲得的短號碼。

◼SF63：該設備也沒有安裝瀏覽器，但也會通過GPRS上網來通知遠程服務器設備激活信息。該設備會發送手機號和在線注冊賬號給遠程服務器，設備還會提取和執行來自遠程服務器的命令(hwwap.well2266.com)。

完整研究報告參見：https://habr.com/ru/post/575626/

本文翻譯自：https://securityaffairs.co/wordpress/121887/mobile-2/push-button-mobile-phones-malware.html如若轉載，請注明原文地址。