刷机保平安：研究人员发现有OEM制造商向Android预装固件植入木马

PS：国外的OEM制造商，为了避免引起误会先提前说下。本文旨在提醒各位Android用户如果可以使用开源固件尽量使用开源固件，没有别的意思，没有水表不收快递。

-----分割线意思一下---

俄罗斯反病毒软件厂商Dr.Web的安全研究人员日前发现有Android设备的制造商在预装固件中暗藏木马病毒。

该木马主要会记录用户的信用卡账号及CVV码等财务信息， 因此对用户来说这是个威胁程度较高的恶意软件。

值得注意的是这个名为 Triada 的木马病毒去年被安全厂商认为是Android平台最先进且最具活力的恶意软件。

在感染设备后该病毒会将自身注入到 Android 系统进程，并且该病毒还采用沙盒技术来躲避安全软件的扫描。

同时在不需要获取Root根权限的情况下该病毒可以渗透到任何正在运行应用程序的进程中并进行预设的操作。

植入在预装固件中：

Dr.Web研究人员称该病毒实际上被植入到设备预装固件中， 因此这些设备的OEM制造商可以说是难辞其咎。

研究人员猜测如果不是OEM制造商主动植入病毒，那么就可能是由可接触到代码的内部人员悄悄修改了固件。

还有个可能是OEM制造商的合作伙伴投放的木马病毒，因为并不是所有制造商都有能力自己定制和开发固件。

如此前廉价设备厂商Blu的部分Android设备就被其外包的固件更新提供商上海某公司植入后门收集隐私内容。

几乎可做任何操作：

这个木马病毒的危害在于只要是控制者想要的操作那么均可完成， 例如记录用户在支付时填写的信用卡信息。

若这个木马病毒没有预设某个功能无法完成对应的操作， 则控制者可通过C&C远程服务器安装其他类型病毒。

这样只要是控制者想做的事情那么没有什么是不可以的， 因此对用户来说这个病毒的危害性算得上比较大了。

受影响的设备包括Leagoo M5 Plus、Leagoo M8 以及 Nomu S10 和 Nomu S20 这四款低端Android设备。

杀毒软件无法清除病毒：

由于该病毒本身属于集成在Android预装固件中的， 因此通过安全软件即使可以扫描到也没有权限可以清除。

要想干掉这个木马病毒唯一的方法就是通过刷机换上新固件， 否则受感染的设备会持续受到这个木马的监控。

点击阅读原文按钮查看更多精彩内容