Dr.Web：多款廉价Android手机再曝固件漏洞

俄罗斯杀毒软件开发商Dr.Web（大蜘蛛）的安全研究人员发现，联想两款手机固件中包含恶意软件，恶意软件会收集设备上的数据，并向设备发送广告。值得注意的是这些受影响的设备中，大部分在俄罗斯销售。

研究人员们发现，某些廉价的Android智能手机和平板中内置了恶意的固件，这些固件会从手机上收集数据，在软件上覆盖广告，还能下载一些无用的软件APK。

研究员调查了俄罗斯市场中销售的MTK平台手机，发现了固件中存在的两种downloader木马。

这两个木马被命名为Android.DownLoader.473.origin和Android.Sprovider.7。他们能够收集手机数据、连接C&C服务器、自动更新、根据指令静默下载安装其他应用、并且能在手机开机时自动运行。

影响手机列表：

联想A319

联想A6000

MegaFon Login 4 LTE

Irbis TZ85

Irbis TX97

Irbis TZ43

Bravis NB85

Bravis NB105

SUPRA M72KG

SUPRA M729G

SUPRA V2N10

Pixus Touch 7.85 3G

Itell K3300

General Satellite GS700

Digma Plane 9.7 3G

Nomi C07000

Prestigio MultiPad Wize 3021 3G

Prestigio MultiPad PMT5001 3G

Optima 10.1 3G TT1040MG

Marshal ME-711

7 MID

Explay Imperium 8

Perfeo 9032_3G

Ritmix RMD-1121

Oysters T72HM 3G

Irbis tz70

Irbis tz56

Jeka JK103

Dr.Web的研究人员表示，该恶意固件中植入了两种木马下载程序：Android.DownLoader.473.origin和Android.Sprovider.7。

这些木马可进行如下操作：

*收集受感染的手机上存储的数据以及与其相关的数据。

*与命令和控制（C&C）服务器进行通信。

*自动更新软件。

*按照从C&C服务器接收的指令，秘密下载并安装应用。

*在设备开启或重启后自动运行。

在Lenovo A319和Lenovo A6000智能手机中发现的Android.Sprovider.7木马程序可下载、安装和运行APK文件，在浏览器中自动打开特定URL，通过标准的系统应用呼叫特定号码，拨叫特定号码后，会运行该标准应用。此外，该程序还更新另一危险模块。除了以上操作，该固件在所有应用上显示广告，在移动设备主屏幕上创建快捷方式，并在状态栏显示恼人的广告。

在除以上两种型号的其他手机中发现了Android.DownLoader.473.origin。该固件下载并安装了其他恶意软件及其他所需应用。该固件可下载广告程序H5Game Center，在智能手机上运行所有应用上展示小框图片。而且，用户无法禁用此广告程序。即使此应用被卸载，此固件木马程序也会重新安装该应用。