Doctor Web: 超过40个型号的Android智能手机在生产阶段被感染

2018.03.01

2017年年中Doctor Web技术专家向外界公布在一些价格较低的Android智能手机的固件中发现木马Android.Triada.231 。自公布此消息后又不断发现有其他机型也被感染，目前已超过40个机型。Doctor Web一直密切追踪这类木马，并在此公布研究结果。

Android.Triada.231 是危险木马家族Android.Triada中的一个木马，能够感染安卓操作系统中名称为Zygote的重要系统组件的进程，此进程参与所有程序的启动。木马在植入这一模块后就能够入侵其他所有应用程序的进程，获得在用户没有察觉的情况下执行各种恶意操作的可能性。例如可以暗中下载和启动软件。Android.Triada.231 的特点是病毒编写者将其内置到系统库libandroid_runtime.so 源代码，而不是将其作为单独的软件来进行传播。这样，恶意应用是在生产阶段就直接入驻被感染移动设备的固件，用户买到的智能手机还在包装盒里就已经是被感染了的手机了。

去年夏天在发现Android.Triada.231后Doctor Web公司就立即通知了被感染设备的生产厂家。但尽管进行了及时预警，恶意软件仍还是在新型号手机出现。例如在2017年12月预告即将推出的Leagoo M9手机发现了这一木马。研究表明，是应Leagoo合作伙伴，一家上海的研发公司的请求将木马加入固件的。此公司将自己的一个应用加入移动设备操作系统镜像，并提供了在系统库进行编译前如何加入第三方代码的指南。遗憾的是，这样值得怀疑的请求没有引起生产厂家的注意，造成Android.Triada.231 得以进入手机系统。

对伙伴公司建议加入Leagoo M9固件的应用所进行的分析表明，这一应用的签名证书与Doctor Web公司早在2016就已侦测到并发布相关消息的木马Android.MulDrop.924的证书相同。可以推测，请求将补充软件加入操作系统镜像的研发者可能与Android.Triada.231的传播有着直接或间接的关联。

目前分析人员在40 多个型号的Android设备的固件侦测到了Android.Triada.231：

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

不能肯定这是完整的列表，被感染的手机型号有可能更多。

Android.Triada.231得以如此广泛的传播说明许多Android设备生产厂商的安全意识不够高，木马代码因疏忽大意或是被有意植入系统组件也因此有可能成为普遍的现象。

Dr.Web for Android产品能够侦测Android.Triada.231的所有已知变种，因此要确认设备是否是被感染的设备，需对设备进行完全扫描。Dr.Web Security Space for Android具备 root全权的情况下可解除Android.Triada.231的威胁，治愈被感染的系统组件。如被感染设备不可开通root优先权，则只能通过安装手机厂商应提供的“干净”的操作系统镜像才能摆脱掉恶意软件。

木马详情

2018年3月15日更新

在Doctor Web公司通知受感染移动设备厂商在其生产的一些Android智能手机型号的固件中存在木马Android.Triada.231后，其中一些公司通知我们已成功解决了存在的问题。目前宣布删除了恶意应用的是Cubot和Leagoo两家公司。以下是已发布系统更正的手机型号：

• Cubot Rainbow
• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9

同时Doctor Web公司病毒分析师在删除了木马Android.Triada.231 的Leagoo M9手机固件中发现了另一个恶意软件，将其命名为Android.HiddenAds.251.origin，是用于显示烦人广告的木马家族中的一种木马。进一步的分析发现，在Leagoo M9设备较早版本的Android系统中也存在的Android.HiddenAds.251.origin。目前被感染机型的厂商正在解决新发现的问题。

建议被感染机型用户检查可加载的新版固件并下载安装。之后有必要使用Dr.Web for Android 产品对设备进行完全扫描，以便确认Android.Triada.231已被删除，并且检查设备上是否隐藏其他恶意软件。

2018年3月16日更新

Android.HiddenAds.251.origin也已从固件中删除。

Back to articles list