研究人员发现在俄罗斯销售的廉价功能手机中预装了恶意软件。俄罗斯安全研究员ValdikSS在俄罗斯销售的四款低价功能手机上发现了预装恶意软件。这四款功能分别是DEXPSD2810、Itelit2160、IrbisSF63和F+Flip3。研究人员发现,很多功能手机都包含一些用户不想要的功能,比如自动发送短信、传输购买数据或手机信息,如IMEI、SIM卡IMSI等。通过深入分析,研究人员发现内置的木马恶意软件可以向一些短号码发送付费短信,其他设备包含后门,将收到的短信发送到攻击者控制的服务器。研究人员分析了功能手机的固件,并设置了一个2G基站来拦截和分析设备的通信。在研究人员分析的五种设备模型中,Inoi101不包含恶意软件。以下为被测设备及对应的恶意行为:?Itelit2160:该设备会将设备型号、固件版本、语言、激活时间、基站ID(LAC/TAC)等信息传输至域名asv.transsion.com.研究人员还在服务器上发现了一个面板,其中包含有关正在销售的设备的信息。?F+翻盖3:设备将通过向+79584971255发送包含IMEI和IMSI消息的短信来报告销售情况。?DEXPSD2810:研究人员发现,虽然设备上没有安装浏览器,但设备仍然可以连接到GPRS。设备还会发送sal、IMEI、IMSI等信息,可以向互联网C2打电话和执行命令。此外,设备会向从服务器获取的短号发送付费短信。?SF63:设备没有安装浏览器,但也会通过GPRS通知远程服务器设备激活信息。设备会将手机号和在线注册账号发送给远程服务器,同时设备也会从远程服务器(hwwap.well2266.com)提取并执行命令。完整研究报告见:https://habr.com/ru/post/575626/本文翻译自:https://securityaffairs.co/wordpress/121887/mobile-2/push-button-mobile-phones-malware.html如有转载,请注明原文地址。
