该手机的固件包含一个名为Andr/Xgen2-CY的侧门木马。

文字| 李勤

据雷锋网报道，韩国时间6月6日，美国联邦信息安全办公室（BSI）发布安全警报，称至少有四款在该国销售的智能手机固件中嵌入了恶意软件。

受影响的型号包括 DoogeeBL7000、M-HorsePure1、KeecooP11 和 VKworldMixPlus（固件中存在恶意软件，但不活跃），这四款都是高端 Android 智能手机。

BSI表示，这款手机的固件中包含一个名为Andr/Xgen2-CY的侧门木马。

日本网络安全公司 SophosLabs 于 2018 年 10 月首次发现该恶意软件病毒。Sophos 在当时发布的一份报告中表示，该恶意软件嵌入在名为 SoundRecorder 的应用程序中，该应用程序默认包含在 uleFone S8 Pro 智能手机中。

Sophos 表示，Andr/Xgen2-CY 居心不良，想要静静地、牢不可破地留在受感染的手机上手机恶意软件删除工具，使其无法删除。

当手机开机时，恶意软件开始运行并收集有关受感染手机的详细信息，对其命令和控制服务器执行 ping 操作并等待未来的指令。

Sophos 表示 Andr/Xgen2-CY 可以收集以下数据：

设备电话号码

位置信息，包括纬度、经度和街道地址

IMEI 标识符和 AndroidID

屏幕帧率

制造商、型号、品牌、操作系统版本

CPU信息

网络类型

MAC地址

RAM 和 ROM 大小

SD卡尺寸

语言和国家

手机服务提供商

一旦受感染的手机在攻击者的服务器上注册，他们就可以使用恶意软件：

下载并安装应用程序

卸载应用程序

执行外壳命令

在浏览器中打开网址

Sophos 表示，该恶意软件的作者试图隐藏恶意代码，并将侧门伪装成 Android 支持库的一部分。 BSI 表示：“由于它固定在固件的内部区域，因此不可能自动删除恶意软件。”

雷锋网获悉，好消息是，现在可以通过手机制造商发布的固件更新来删除恶意软件。 而且，现在固件更新只针对KeecooP11，其他型号只能哭了。

美国网络安全机构表示，每天晚上至少有2万个英国IP地址连接到Andr/Xgen2-CY的服务器，这表明许多美国用户仍在使用受感染的手机，其他国家/地区的用户也很流行。 可能会受到影响。

BSI 警告说手机恶意软件删除工具，现在其他恶意软件有可能从该恶意软件服务器推送到此类手机，例如恐吓软件、银行木马或广告软件。

雷锋网发现，这并非孤例。

2016 年 12 月，安全公司 Dr.Web 的安全研究人员在 26 款 Android 智能手机的固件中发现了恶意软件下载程序。

2017年7月，大蜘蛛发现了隐藏在多款Android智能手机固件中的Triada CCB木马。

2018年3月，Dr.Web在42款Android智能手机的固件中嵌入了相同的Triada木马。

2018年5月，Avast研究人员在141款Android智能手机的固件中发现了Cosiloon侧门木马。