我们再次发现,另一款手机预装了维珍移动公司通过保证无线提供的生命线援助程序提供的恶意软件。这一次,ANS (American Network Solutions) UL40运行Android OS 7.1.1。
我们一月份写完信以后——”美国政府资助的手机预装了无法清除的恶意软件-我们听到Malwarebytes用户的强烈抗议。必威平台APP一些人声称,ANS的各种机型都遇到了与UMX (Unimax)类似的问题。U683CL.然而,在没有物理上具有移动设备的情况下,很难验证这种情况。出于这个原因,我无法公开自信地写下这种情况。值得庆幸的是,我们有一个Malwarebyte必威平台APPs Patron致力于证明他的案件。谢谢Malwarebyte必威平台APPs Patron Rameez H. Anwar向我们发送您的ANS UL40进行进一步研究!您的网络安全专业知识和持久性肯定会帮助他人!
澄清可用性
为了澄清,目前尚不清楚有问题的电话,ANS UL40目前是否可以通过保证无线提供。但是,在保证无线网站上列出了ANS UL40用户手册(在本文的写作时)。
因此,我们只能假设它仍然对Assurance Wireless客户可用。无论如何,ANS UL40在某些时候已经售出,一些客户仍然可能受到影响。
感染类型
就像UMX U683CL一样,ANS UL40感染了受损设置应用程序和无线更新虽然这可能是真的,但他们确实是不感染了相同的恶意软件变体。感染是相似的,但具有自己独特的感染特征。这是受感染的应用程序的破败。
设置
- 包裹名字:com.android.settings
- MD5:7 ada4aaea49383499b405e4ce0a9447f
- 应用名称:设置
- 检测方法:Android / Trojan.downloader.wotby.sek.
的设置App就像它的名字一样,它是用来控制所有移动设备设置的系统应用程序。因此,移除它将使设备无法使用。对于ANS UL40,它感染了Android/ trojan . downloads . wotby . sek。
感染的证据是基于几个相似的其他变种Downloader Wotby。虽然感染设置应用程序被严重混淆,我们找到了相同的恶意代码。此外,它共享相同的接收者名称:com.sek.y.ac;服务名称:com.sek.y.as;和活动名称:com.sek.y.st,com.sek.y.st2., 和com.sek.y.st3..一些变体还共享在其资产目录命名wiz.txt。这似乎是一个可以从第三方应用商店下载的“热门应用”列表。下面是文本文件中的代码片段。
说句公道话,这个病毒对我们没有引发恶意活动设置我们希望看到一些通知或浏览器弹出,上面显示的代码的信息。不幸的是,这种情况从未发生过。但我们也没有像普通用户那样在移动设备上花费大量时间。设备中也没有安装SIM卡,这可能会影响恶意软件的行为。然而,有足够的证据证明这一点设置应用程序有能力从第三方App Store下载应用程序。这是不好的。出于这个原因,检测站。
虽然令人不快,但重要的是要注意第三方App Store中的应用程序似乎是恶意软件。这通过手动下载一对夫妇进行分析来验证。这并不是说无法在以后上传恶意版本。我们也没有验证每个样本。尽管如此,我们认为我们确实验证的样本集是否在网站上的其他应用程序保持true。在那些情况下,即使是ANS的设置应用程序从列表中下载了一个应用程序,但它仍然不像设置在UMX U683CL上看到的应用。
WirelessUpdate
- 包裹名字:com.fota.wirelessupdate
- MD5:282年c8c0f0d089e3cd522b4315c48e201
- 应用名称:WirelessUpdate
- 检测:三种变体Android / PUP.Riskware.Autoins.Fota
- 变体.INS、。fscbv和。fbcv
WirelessUpdate被归类为潜在无用程序(PUP)风险软件自动安装程序,可以在用户不知情的情况下自动安装应用程序。它也是移动设备更新安全补丁、操作系统更新等的主要来源。
android / pup.riksware.autoins.fota尤其是用于安装各种变种的Android /特洛伊。HiddenAds的确如此!事实上,它是自动安装的四个如下所示的隐藏区域的不同变体!
- 包裹名字:com.covering.troops.merican
- MD5:66年c7451e7c87ad5145596012c6e9f9a0
- 应用名称:梅里卡
- 检测方法:Android / Trojan.HiddenAds.MERI
- 包裹名字:com.sstfsk.cleanmaster
- MD5:286年ab10a7f1dde7e3a30238d1d61aff4
- 应用名称:清理大师
- 检测方法:Android / Trojan.HiddenAds.BER
- 包裹名字:com.sffwsa.fdsufds
- MD5:4 b4e307b32d7bb2ff89812d4264e5214
- 应用名称:美
- 检测方法:Android / Trojan.HiddenAds.SFFW
- 包裹名字:com.slacken.work.mischie
- MD5:0 ff11fcb09415f0c542c459182cca9c6
- 应用名称:Mischi
- 检测方法:Android / Trojan.HiddenAds.MIS
有效载荷下降验证
现在你可能会想,“你如何验证两个预先安装的受感染的系统应用程序中,哪一个正在减少有效负载?”流程如下所示。在初始设置移动设备时禁用其中一个。在UMX和ANS的情况下,选择禁用哪个选项都很容易。那是因为禁用设置应用程序使手机无法使用。所以,禁用WirelessUpdate在这两种情况下都是显而易见的选择。这个过程的下一步是等上几周,看看是否会发生什么。是的,有时候你需要等这么长时间恶意软件才会释放有效载荷。如果几周后什么都没有发生,那么是时候重新启用受感染的系统应用程序,重新开始等待游戏。
通过这个过程,我们发现UMX U683CL,设置应用程序是罪魁祸首。对于ANS UL40,在没有看到任何有效载荷(s)数周后,我重新启用WirelessUpdate。在24小时内,它安装了四种HiddenAds变体!被当场抓住,WirelessUpdate!
UMX和ANS之间的联系
根据我们的发现,我们猜想有些人会想:这是相互关联还是巧合?我们知道UMX和ANS移动设备都有同样受感染的系统应用程序。但是U683CL和UL40上的恶意软件版本不同。因此,我最初并不认为这两个品牌之间有任何联系。我把它归结为巧合而不是关联。直到我偶然发现有证据表明事实并非如此。
的设置在ANS UL40上发现的应用程序是用一个通用名称的数字证书签名的teleepoch。搜索teleepoch提出了公司遥感有限公司并附上他们网站的链接。就在主页上遥感有限公司它的州,Teleepoch在美国注册品牌“UMX”。
让我们来回顾一下。我们有一个设置应用程序在ANS UL40上找到,该公司由一家由公司签名的数字证书,该公司是UMX的注册品牌。对于记分牌,这是两个不同的设置在两家不同的手机制造商和型号上,带有两种不同恶意软件变体的应用程序似乎都与之相关遥感有限公司.此外,到目前为止,发现只有两个品牌被发现预先安装的恶意软件设置通过生命线援助程序的应用程序是ANS和UMX。
这导致我通过在我们的支持系统的支持系统中进行了可能预先安装的恶意软件的案例来进行进一步研究。那是我发现ANS L51的时候。对于记录,L51是另一个模型被吹嘘在1月份UMX文章的评论中预先安装了恶意软件。我发现ANS L51有了相同的准确恶意软件的变种UMX U683CL!在那里,在之前的支持票中,有确凿的证据证明ANS L51感染了Android/Trojan.Dropper.Agent。UMX和Android / PUP.Riskware.Autoins.Fota.fbcvd。把TeleEpoch、UMX和ANS的相关性分类开回家!
解决方案
我们有最大的信心,ANS将很快找到解决这个问题的办法。正如UMX所做的更新:2020年2月11日一月份写作的一部分。幸运的是,我们没有发现设置ANS上的应用程序几乎和UMX上的一样恶毒。因此,这一次的紧迫性没有那么严重。
与此同时,使用ANS UL40的沮丧用户可以通过使用这种卸载方法来阻止HiddenAds的再次感染WirelessUpdate为当前用户(详情见下方链接):
警告:一定要读将应用程序恢复到设备上(不需要重置出厂设置)在极少数情况下,你需要恢复/恢复应用程序。例如,如果你想恢复WirelessUpdate检查是否存在重要的系统更新。
在步骤7期间使用此/这些命令通过ADB命令行卸载Adups去除:
Adb shell PM卸载-k -user 0 com.fota. wirelesupdate
预算不应等同于恶意软件
在选择廉价的移动设备时,需要权衡利弊。为了让移动设备在钱包里更显眼,一些预期的权衡包括性能、电池寿命、存储尺寸、屏幕质量和其他一些东西。
然而,预算应该从来没有意味着用预先安装的恶意软件危及自己的安全。时期。
评论