近日,有兩份報告指出,多款 Android 設備「預裝」了惡意軟體,使得 Android 設備的安全性再受質疑。
首先有關 Android 手機,趨勢科技的一份報告指出,有多達 50 個不同品牌、多達 890 萬部 Android 手機在出廠時就被安裝了惡意軟體。這一惡意軟體名為 Guerrilla,也在 Play 商店中的 15 個惡意應用程式中被發現。
在使用者下載安裝了這些應用程式後,來自惡意威脅組織 Lemon Group 的 Guerrilla 便會打開後門,使感染的設備定期與遠程指揮控制伺服器通訊,檢查是否有新的惡意更新可以安裝,這些惡意更新會蒐集有關使用者的數據,Lemon Group 再將這些數據賣給廣告商,以獲得可觀利潤。Guerrilla 也會在手機上安裝侵略性的廣告平台,這些平台會耗盡手機電池電量並降低了使用者體驗。
Lemon Group 表面上是一家提供大數據行銷與廣告的公司,不過在去(2022)年 5 月趨勢科技公布相關調查後,已更名為 Durian Cloud SMS。其旗下的惡意軟體 Guerrilla 不但會攔截設備使用者的一次性密碼簡訊(OTP),甚至還會擷取 Facebook 等服務的 Cookie、WhatsApp 對話等等數據。
趨勢科技指出,感染手機密度最高的國家是美國,其次為墨西哥、印尼、泰國和俄羅斯,而實際受感染設備可能多於 890 萬部,因為這些調查還不包括被植入但因為未連網而沒被偵測,或者被植入但未被攻擊者啟用的設備。
趨勢科技也警告,雖此分析主要圍繞在智慧手機,不過該公司也在智慧電視、Android 電視盒、Android 兒童智慧手錶以及其他物聯網產品中發現了來自 Lemon Group 以及類似威脅行為者的惡意軟體。
Amazon 上販售的高人氣 Android 電視盒也受感染
另一份報告則來自外媒 TechCrunch。該份報告指出,在亞馬遜(Amazon)上銷售的 Android 電視盒,和上述的 Android 手機一樣,這些預裝了惡意軟體 clickbot 的電視盒,亦會向伺服器發送報告,以便安裝任何惡意組織想要安裝的應用程式, clickbot 則偷偷在後台透過點擊廣告來產生收入。
安全研究人員發現,這些受感染設備連接到一個龐大的殭屍網路,由全球每個家庭或辦公室中成千上萬個其他感染了惡意軟體的 Android 電視盒組成。而殭屍網路背後的營運商則利用這些設備來挖掘加密貨幣,或從設備竊取數據,更可以利用這些設備向任何網站或企業發起 DDoS 攻擊與供應鏈攻擊。
目前沒有簡單的方法可以為普通的 Android 使用者刪除惡意軟體,除非完全丟掉這些已經受到感染的盒子。Amazon 並沒有回應該平台是否會審查銷售設備的安全性,也沒有解釋是否會暫停銷售這些包含惡意軟體的設備。
這些電視盒來自 AllWinner 和 RockChip 兩家中國公司,這兩家公司在亞馬遜上銷售的電視盒都獲得了消費者的高度評價。根據 TechCrunch,安裝了惡意軟體的型號包括 AllWinner T95、AllWinner T95Max、RockChip X12 Plus 和 RockChip X88 Pro 10。不過這兩家公司都沒有對相關安全報導有任何回應。
科技媒體 Ars Technica 指出,Android 設備在出廠時就自帶惡意軟體並不是什麼新鮮事,並建議 Android 手機使用者應當轉而使用知名品牌,而非太過廉價的手機,這些品牌與較高級的設備在品質上通常更加可靠。
圖片與文章來自:(https://www.inside.com.tw/article/31709-android-phones-and-tv-boxes-laced-with-malware)