超过40余款廉价Android设备被指预装银行类木马病毒

俄罗斯安全公司大蜘蛛目前已经发布详细追踪报告公布超过40余款廉价Android设备预装的银行类木马病毒。

此类病毒最主要的用途就是劫持银行发送给用户的验证码，通过验证码来盗刷用户账户余额实施金融诈骗等。

值得注意的是该病毒并不是大蜘蛛最先发现的，早在 2016 年时卡巴斯基安全实验室就捕获到该病毒的样本。

不过当时卡巴斯基实验室并未就该病毒继续追踪下去，但大蜘蛛的研究人员在追踪后发现该病毒危害非常大。

预装并且拥有系统级权限：

被命名为Android.Triada.231的银行恶意软件主要通过预装传播，该恶意软件至少被预装在超过40款设备上。

这款恶意软件的设计目的主要是用于实施金融诈骗， 通常采用劫持银行下发的短信验证信息来进行盗刷等等。

同时该恶意软件采用模块化架构设计因此具备非常广泛的功能， 攻击者亦可根据自己需要来新增或调整功能。

由于本身属于预装应用同时又带有恶意目的， 这款恶意软件亦可获取本地系统级权限用于执行其他敏感操作。

OEM制造商并未发现预装问题：

这些恶意软件实际上是外包供应商提供程序时打包的， 外包供应商为品牌厂商提供应用程序以刷写到固件中。

但该外包供应商同时还添加未编译的代码到系统库中， 而厂商并未对这个存在安全隐患的要求感到任何怀疑。

于是这些恶意软件可以堂而皇之的进驻多个品牌超过40款廉价Android设备中，被感染的设备数量还会增长。

与此恶意软件相关的包括Android.MulDrop.924，该软件在2016年时被发现并与 Triada.231 使用相同证书。

备注：

本文按英文原文翻译阐述大蜘蛛认为这是银行类木马病毒软件， 因为该木马可以收集并上传用户收到的短信。

但据我们所知实际后门并非刻意收集银行短信， 而是直接将短信记录、通话记录、联系人等等全部打包上传。

当然最终这些信息被收集后具体拿去做什么了暂时还不清楚， 可以肯定的是前文所称厂商不知情是不可能的。