俄罗斯多款廉价功能手机被发现预装了恶意后门程序

一位名叫 ValdikSS 的安全研究人员，俄罗斯电商平台出售的 4 款廉价按钮功能手机中发现预装了恶意软件。

专家注意到，一些按键式电话包含不需要的未记录功能，例如自动发送 SMS 消息或上网传输购买数据或电话信息（IMEI 和 SIM 卡 IMSI）。研究人员发现了一种内置木马，它在某些型号中向短号码发送付费短信，而其他设备包含一个后门，可将传入的短信发送到攻击者的服务器。

根据极牛网GEEKNB.COM小编的梳理，被植入恶意软件的手机设备品牌和型号分别是 DEXP SD2810、Itel it2160、Irbis SF63 和 F+ Flip 3。

安全专家分析了 5 个型号，其中只有一个，Inoi 101 是干净的。以下是经过测试的设备及其表现出的行为的情况：

• Inoi 101 – 干净。
• Itel it2160 – 该设备将一些信息发送到asv.transsion.com域名（包括国家、型号、固件版本、语言、激活时间、基站ID）。
• F+ Flip 3 – 该设备通过短信向号码+79584971255报告销售信息 ，并在消息正文中发送 IMEI 和 IMSI。
• DEXP SD2810 – 该设备发送有关IMEI、IMSI 的信息，并能够在Internet 上拨打CnC 并执行其命令。它还被发现向短号码发送付费短信，其中包含从服务器收到的文本。
• SF63 – 该设备通过 GPRS 连接远程服务器发送有关设备激活的信息。它将电话的电话号码发送到远程服务器并在线注册帐户（即 Telegram）。该设备还从远程服务器 (hwwap.well2266.com) 检索和执行命令。

在撰写本文时，仍不清楚恶意软件是由供应商植入还是由黑客作为供应链攻击的一部分植入。根据极牛网GEEKNB.COM小编的梳理，这类通讯设备在俄罗斯很常见，但缺乏必要的安全审计。不幸的是，多年来安全研究人员仍然持续地发现多种预装在低价设备中的恶意软件。