死亡铃声：预装在山寨机中的恶意木马

　　看着刚从手机店里买来的崭新手机，人们往往理所当然地认为新手机如同初生婴儿一般纯洁无暇。但事实不总是如此，最近安全研究人员发现了一枚新的手机预装恶意软件——死亡铃声（DeathRing），金立、海尔、山寨三星等手机中招。

　　DeathRing主要预装在一些亚洲和非洲国家销售的智能手机之中。尽管检测到的数量并不是很多，但考虑到该木马的预装特性，同时我们在多个地区越发频繁地检测到了它，这使得我们不得不为之忧心。

　　DeathRing的恶意行为

　　该木马会伪装成铃声应用，悄悄地从控制服务器下载恶意内容到受害者的手机里。例如，DeathRing能够伪造恶意欺骗短信，骗取攻击者感兴趣的用户个人信息。它还会从诱导用户下载更多的恶意软件，进一步控制受害者的手机和其中的数据。

　　当满足如下两种情形中的一种时，木马就被激活并开始活动：

　　1、手机关机重启达到5次。在第5次启动时，木马也会随着启动

　　2、木马检测到用户与手机分开次数达到50次之后

　　已发现感染的机型

　　仿制的三星GS4/Note II

　　各种TECNO设备

　　金立Gpad G1

　　金立GN708W

　　金立GN800

　　宝创Rocket S2350

　　Hi-Tech Amaze Tab

　　Karbonn TA-FONE A34/A37

　　佳域G4S – Galaxy S4仿制版

　　海尔H7

　　未知生产商的i9502和三星仿制版

　　目前该恶意程序主要涉及的国家（地区）有越南、印尼、印度、尼日利亚、台湾还有中国大陆。

　　似曾相识？

　　今年早些时候，Lookout公司发现了一个名为Mouabad的手机预装恶意软件，它与DeathRing非常相似。Mouabad也是在手机供应链上的某个环节中植入的。Mouabad主要感染的也是亚洲国家。

　　安全建议

　　由于该恶意软件属于预装的系统软件，一般难以发现并删除。不过你可以按照下面的建议来确保相对安全：

　　1、确保从正规渠道购买有保障的手机。

　　2、使用安全软件，如果发现异常，可以联系商家。

　　3、习惯性的检查自己的账单，以及其他可能不对的费用。