Checkpoint再次曝光一批中国手机中预装的恶意软件 锐嘉科、广升信息再次被提及

在去年年底的时候，安全加报道过 联想手机A319 A6000出现漏洞 俄罗斯杀毒软件厂商发现一批手机固件中包含木马，今年3月10日， 安全公司Check Point在其blog上发表文章称 ，又发现两个大公司的38台安卓移动设备预装有恶意软件。

Checkpoint说手机中的恶意软件是在供应链中添加的

报告显示，各种恶意软件主要由信息窃取程序和拙劣的广告网络组成，这其中也包括所发现的移动勒索软件家族。有意思的是，尽管厂商提供的官方只读存储器（ROM）中并不存在恶意软件，但设备在用户收到前就已经感染了恶意软件。

该安全公司表明，这些恶意应用是“在供应链中添加的”。Check Point发现其中六个恶意软件由恶意行为者使用系统权限添加。这意味着，用户如果不刷机就无法移除这些恶意软件。

手机上的恶意软件主要用于广告分发

其中一个恶意APK文件，com.google.googlesearch，为六台设备中的广告网络。另一个为Slocker移动勒索软件，利用AES加密技术对设备上的文件进行加密。恶意软件基于Tor实现C&C通信。

然而，最值得注意的威胁是设备上发现的Loki信息窃取程序和拙劣的广告网络，如APK文件，com.androidhelper.sdk。Check Point表示，该恶意软件利用数个不同组件，每个组件都有自己的功能和角色。Loki的恶意目标，除了通过展示非法广告获得收益外，还包括窃取设备相关数据，安装在系统分区中实现持续渗透，并完全控制设备。

被感染的设备包括：

Galaxy Note 2、Galaxy Note 3、Galaxy Note 4、Galaxy Note 5、Galaxy Note Edge、Galaxy Note 8.0、Galaxy S7、Galaxy S4、Galaxy A5、Galaxy Tab S2、Galaxy Tab 2、LG G4、中兴x500、vivo X6 plus、Asus Zenfone 2、Oppo N3、Oppo R7 plus、小米Mi 4i和红米、联想S90、联想A850、Nexus 5和Nexus 5X。

安全研究员未透露，恶意软件针对两个公司（一个为电信公司，另一个为跨国技术公司）的移动设备的感染是否是对其发动的针对性攻击。

Check Point公司的移动研究团队的Oren Koriat说，

“即使用户万分小心，预装的恶意软件也会危害设备的安全。此外，设备上安装的恶意软件会使设备活动时常发生变化，而使用此类设备的用户丝毫觉察不到任何变化。”

媒体提及去年相关事件涉及到的中国公司

尽管以前事件的元凶一目了然，但移动设备上预装恶意软件并非新鲜事物。在去年11月，研究人员发现中国的上海广升信息技术有限公司所管理的FOTA无线固件升级（FOTA）软件系统，通过收集恶意软件感染的设备的信息进行后门活动。该公司称，后门用于提升用户体验。

2016年12月，据称中国的锐嘉科集团有限公司，提供的OTA升级机制使近300万设备置于中间人攻击（MitM）风险之中，并可使攻击者以root权限执行任意命令。