在中国制造商Transsion的数千款低成本智能手机中,已经发现了预装的恶意软件,这些恶意软件未经许可即允许移动用户注册订阅服务。
这项发现是由Upstream的反欺诈平台Secure-D进行的,该研究人员对由其平台检测到的可疑交易的来源进行了全面调查。
从去年3月开始,该公司发现并阻止了来自埃塞俄比亚,喀麦隆,埃及,加纳和南非的Transsion Tecno W3手机发起的异常大量交易,在另外14个国家中发现了其他欺诈性移动交易。
迄今为止,已经从200,000多个唯一设备中记录了总计1,920万可疑交易,这些交易会在未经用户许可的情况下秘密地为用户注册订阅服务。这些被阻止的交易中的许多交易是由一个名为com.mufc的应用程序家族执行的,其来源未知,无法从任何Android应用程序商店下载。
上游的Secure-D负责人Geoffrey Cleaves进一步了解了移动广告欺诈的现状。
移动广告欺诈正在迅速成为一种流行病,如果不加以制止,它将扼杀移动广告,削弱对运营商的信任,并使用户承担更高的费用。需要一种统一的方法来提高意识。这种特殊的威胁利用了最脆弱的人群。该恶意软件已预先安装在手机上,这些手机通常由低收入家庭以数百万美元的价格购买,这告诉您您需要了解该行业当前所面临的一切。
为了调查观察到的大量可疑交易,Secure-D从真实用户那里购买了新购买的Tecno W2手机和设备。该公司的分析是结合使用设备型号和固件版本进行的,测试的智能手机已连接到各种不同的网络类型。
Secure-D的调查证实,Transsion的Tecno W2设备预装有Triada相关的恶意软件。Triada是一种流行的恶意软件,可以充当软件后门和恶意软件下载器。在接收到来自远程命令和控制服务器的指令后,该恶意软件使用顶级设备特权执行任意恶意代码,然后将其存在隐藏在永久系统组件中,以进一步避免检测。
一旦Secure-D将已购买的Tecno W2设备连接到互联网,Triada恶意软件便下载了一个名为xHelper的木马。特洛伊木马程序在重新启动,应用程序删除甚至恢复出厂设置后仍然存在,这使得即使是有经验的专业人员也很难删除。
Secure-D还发现,当xHelper组件暴露于正确的环境时,它们会进行查询以查找新的订阅目标并代表毫无疑问的电话所有者提交欺诈性的订阅请求。由于这些请求是自动且不可见的,因此它们将消耗用户的预付费通话时间,因为这是在许多新兴市场进行数字支付的唯一方法。
由于Google安全团队的博客文章将Triada的存在归因于受影响设备的供应链中某个恶意供应商的行为,因此甚至不应该将传输视为罪魁祸首。
TechRadar Pro已与Transsion Holdings取得联系,但该公司在撰写本文时尚未做出回应。
点击阅读全文
