更新:2020年7月31日

将第一次调查发布到政府资助的移动电话后,我们由有关用户联系我们自己的设备 - ANS UL40。经过彻底的调查,我们再次发现了预装的恶意软件

更新:2020年2月11日

从本写作中,UMX(UNIMAX)通信已正式从UMX U683CL中删除所有预安装的恶意软件。最新的软件更新解决了问题。

请记住,如果感染了Android/木马。hiddenads。WRACT,你仍然需要删除它——尽管Play Protect确实提供了一个提示,称其不安全,并警告用户卸载。

必威平台APPAndroid伪也将检测和删除隐藏广告。

我们要感谢UMX (Unimax)通信公司解决了这个问题,尽管他们仍然拒绝接受所有权。今年1月,UMX发表了一份公开声明:

调查此问题后,UniMax通信已确定发布中描述的应用程序不是恶意软件......然而,在审查这些应用程序时,Unimax通信确定“设置”应用程序库中可能存在潜在的漏洞。因此,Unimax通信更新了软件,以纠正潜在的漏洞。据Unimax通信所知,没有客户数据被泄露。

他们碰巧在预安装中找到“漏洞”的方便设置碰巧丢弃恶意软件的应用程序。我们坚称我们的原始断言,应用程序本身由于其特洛伊木马滴管能力而变得恶意 - UMX设备上的Hiddenads Trojan的掉落是无可争辩的。

我们的帖子的主要目标是通知和保护用户:那些是恶意饲料客户和那些不是那些的人。必威平台APP更重要的是,我们将此问题带到了新闻界,以便在UMX客户没有使用其他选项时调用分辨率。因此,虽然我们很高兴unimax采取行动,使我们的用户和他们的用户可以安全地使用他们的设备,但我们很失望的是,它采取了这样的公共行动来找到一个分辨率。

更新:2020年1月10日

在最初发布的时候,我们还不能复制恶意软件Android./木马。HiddenAds被丢弃在我们的测试设备上,尽管许多用户报告说他们的UMX手机上突然安装了HiddenAds的变体。

截至今天,我们现在能够报告我们的UMX U683CL测试手机已经感染了我们检测到Android / Trojan.Hiddenads.wart的变种。自2019年春天以来,在野外已经观察到这种变体。它在后台静默地运行,并没有创建应用程序图标。可以在移动设备的通知中看到其在后台运行的证据。更改其标题名称的通知框在下面以红色突出显示。

该应用程序在后台运行时没有图标,但仍保留了一个空间。

通知栏不能在通知中删除。它顽固地仍然在后台跑步。

幸运的是,有一种方法可以找到和卸载这个应用程序。如果按住通知,它将提供选项更多设置。

点击后更多的设置,它将带您到此应用程序的通知设置。从那里,按顶部的应用程序的图标。

最后,它将带您到此应用程序应用信息,您可以在那里卸载。

当然,必威平台APPAndroid伪也照顾这一点。

************************************************************************

通过生命线援助计划提供手机的美国资助的移动载体正在销售预安装的移动设备,而不是一个,而且是两个邪恶的应用程序。Virgin Mobile的保证无线提供UMX U683CL手机作为最大预算有意识选项。仅在政府资助的方案下只需35美元,这是一个有吸引力的产品。但是,它可以安装的是令人震惊的。

不只是恶意,而是预先安装

2019年10月,我们在我们的支持系统中向用户提供了几次投诉,从用户发出的电话报告中,其中一些预先安装的应用程序是恶意的。我们购买了UMX U683CL以更好地帮助客户并核实他们的索赔。

我们告知无线的调查结果,并要求他们点空白为什么美国资助的移动载体销售使用预安装恶意软件的移动设备?在给予他们足够的时间后,我们不幸的是从未听过。这是我们发现的。

UMX U683CL上的第一个可疑的应用程序作为名为Wireless更新的更新程序。是的,它能够更新移动设备。实际上,它是更新移动设备的操作系统(OS)的唯一方法。相反,它还能够在没有用户同意的情况下自动安装应用程序。

因此,我们检测到这个应用程序Android / PUP.Riskware.Autoins.Fota.fbcvdAndroid用户听起来应该很熟悉Malwarebytes这个检测名称。必威平台APP那是因为这个应用实际上是补充是一个基于中的公司捕获了收集用户数据,在移动设备上创建后门,是,开发自动安装程序。

从你登录移动设备的那一刻起,无线更新就开始自动安装应用程序。再重复一遍:它没有收集用户的同意,也没有按钮来接受安装,它只是自己安装应用。虽然它安装的应用程序最初是干净的,没有恶意软件,但需要注意的是,这些应用程序被添加到设备上时无需通知用户,也无需用户许可。这使得恶意软件有可能在未来的任何更新中被不知不觉地安装到无线更新所添加的任何应用程序中。

不仅预先安装,但不可移动

这是非常沮丧的,我必须写下另一个unremovable预装应用程序在UMX U683CL手机上找到:移动设备自己的设置应用程序用作一个严重混淆的恶意软件,我们检测到Android / Trojan.Dropper.Agent.umx..因为该应用程序充当了更改设置的仪表盘,删除它将使设备无法使用。

Android / Trojan.Dropper.Agent.umx与已知移动特洛伊木马滴注器的另外两种变体共享特性。第一个特征是它使用相同的接收器和服务名称。接收器名称结束ALReceiver服务名称结束alajobservice。单独的这些名称过于通用,无法进行固体相关性。但是,再加上代码几乎相同的事实,我们可以自信地确认匹配。

两种代码之间的唯一区别是它们的变量名称。此恶意软件的更可辨别的变体使用汉字进行变量名称。因此,我们可以承担这种恶意软件的起源是中国。


带有中文变量名的恶意软件的变体

其共享的第二个特征在代码中包含编码字符串。解码此字符串显示一个名为的隐藏库文件com.android.google.bridge.Libimp。


解码串
com.android.google.bridge.Libimp.

让我们花一些时间来看看代码在解码时如何流动com.android.google.bridge.Libimp..它首先使用Base64解码抓取编码的字符串和解码。


编码字符串

Base64解码

然后它将解码的库加载到内存中dexclassloader.


dexclassloader.加载解码的字符串

在库中加载到内存之后,它会丢弃另一块已知的恶意软件Android / trojan.hiddenads.

虽然我们尚未重现额外的恶意软件,但我们的用户据报道,确实在其UMX移动设备上突然安装了Hiddenads的变种。

恶意软件原产地

除了来自中国的恶意软件,值得一提的是,这款UMX移动设备也是由一家中国公司制造的。这可能只是一个巧合,而不是明确的不满——我们无法确认设备制造商是否意识到预装了中国恶意软件。

没有当前的解决方案

虽然我们有办法为当前Malwarebytes用户卸载预安装的应用程序必威平台APP,在UMX上这样做有后果。卸载无线更新,您可以遗漏OS的严重更新。我们认为这是值得的权衡,并建议这样做。

但卸载这一点设置应用程序,你就做了一个昂贵的镇纸。我们在我们的博客中提供了一种修复这种预安装恶意软件的尝试:预装移动恶意软件的新景观:恶意代码.请参阅部分:试图修复。

预先安装的恶意软件变得更糟,正如所预见的那样

正如我在此博客和博客过去所突出显示的那样,预安装的恶意软件仍然是移动设备用户的祸害。但现在,通过美国政府资助的计划可以购买移动设备,这是从此提出(或降低,但是您在App开发公司中查看不良行为的栏。

预算不应该决定用户是否可以安全地使用他或她的移动设备。花几千美元买一部iPhone,就能逃脱预先安装的恶意软件。但用政府资助的资金购买设备,并以恶意软件为代价?这不是我们在Malwarebytes设想的无恶意软件存在的类型。必威平台APP

UMX U683CL上的最后一句话

在我手中有一个实际的UMX U683CL,我可以告诉你这不是一个糟糕的手机。它在手中感觉很大,并顺利运行。当然,它不是最快的移动设备,但它是一个完全有机的智能手机。一般来说,没有恶意软件,此设备对任何预算的任何人都是一个很好的选择。

重要的是要意识到UMX并不孤单。有许多预算制造商预先安装了恶意软件的报告,这些报告数量增加。虽然我没有答案这一普遍的问题,但我可以说美国公民使用生命线援助计划以及许多紧张预算值得更多。那里安全。

更正:本博客的早期版本将UMX型号列为U686CL。正确的型号是UMX U683CL。我们为造成的混乱道歉。