AVAST发现很多廉价安卓设备出厂就被预装恶意软件
捷克安全软件 AVAST 日前发布分析报告称很多廉价安卓设备在出厂时就被预装恶意和广告软件且难以移除。
根据 AVAST 报告预装的这些恶意软件主要就是弹窗广告,但是在不进行ROOT 的情况下是无法进行删除的。
最初预装的恶意软件会联网下载配置清单再按照清单来加载内容,包括静默安装推广应用以及桌面弹窗等等。
冒充崩溃日志和输入法:
预装的恶意软件主要使用CRASHSERVICE和IMEMESS这个名字,多数用户以为这是系统组件因此不会删除。
然而在联网后这两款软件就开始在后台悄悄执行恶意操作,加载特定配置清单后按照预设指令疯狂的弹广告。
有意思的是配置清单还会设置按国家地区的白名单,只是 AVAST 发现白名单为空也就是根本没使用白名单。
只要病毒开发者能够保持配置清单的网址可用,那么预装在这些设备上的病毒便可以很好的工作不会被停止。
怀疑是供应链环节植入病毒:
对于厂商来说主动植入病毒对于名声会造成极大的影响,因此多少厂商即便靠设备收入很低也不大会做这事。
实际上这都是在供应链环节被经销商出货时提前刷机预装的,这个此前在国内设备里已经发生过同样的操作。
三月份时国外安全公司CHECKPOINT发现国内超过500万台安卓设备被预装恶意软件,主要就是会弹出广告。
涉及到品牌包括小米、三星、HTC、联想、华为、酷派等等,而其始作俑者则是杭州天湃网络科技有限公司。
该公司在经销这些设备时对其进行刷机并植入广告软件,然后依靠投放广告帮助其他广告主推广自家应用等。
AVAST发现的这则安全问题同样是供应链所为,包括经销商和运营商等都有可能在出售设备前对其进行植入。
由谷歌对受感染设备进行清除:
目前AVAST已经将此事通报给谷歌, 谷歌公司则是通过Google Play Protect安全模块对上述病毒进行移除。
在谷歌开始移除后AVAST监测受感染的设备已经开始下降,此前用户还可以通过ROOT设备删除对应软件包。
另外值得注意的是根据AVAST的调查所有受感染的设备全部是基于联发科的芯片,不知道是不是有什么共性。