开箱即用的隐藏恶意软件掠夺数百万 Android 手机

趋势科技的网络安全研究人员发现了一起针对 Android 设备的供应链攻击事件。他们发现数以百万计的 Android 设备，包括经济型智能手机、智能手表、智能电视和其他智能设备，甚至在出厂前就感染了信息窃取恶意软件。

在新加坡举行的一次会议上，趋势科技研究人员 Fyodor Yarochkin 和 Zhengyu Dong 阐明了这个问题的根本原因，将其归因于原始设备制造商 (OEM) 之间的激烈竞争。虽然智能手机制造商将某些组件（例如固件）外包给第三方供应商，但手机固件价格的下降导致这些供应商难以通过其产品获利。

因此，Yarochkin 解释说，这些产品开始预装不需要的额外“静默插件”。趋势科技的调查显示，大量固件映像扫描恶意软件，并识别出大约 80 种不同的插件。其中一些插件是更广泛的“商业模式”的一部分，在地下论坛上出售，并在主流社交媒体平台和博客上做广告。

这些插件具有多种功能，包括窃取敏感信息、短信、社交媒体帐户接管、广告和点击欺诈、流量滥用等。 The Register 强调了一个特别严重的问题，其中一个插件允许购买者在长达五分钟的时间内获得对设备的完全控制，并将其用作“退出节点”。

据趋势科技称，数据表明全球有近 900 万台设备成为此次供应链攻击的受害者，其中大部分位于东南亚和东欧。虽然研究人员没有明确指出罪魁祸首，但他们在讨论中多次提到中国。

什么是供应链攻击？

供应链攻击是网络犯罪分子采用的一种恶意策略，旨在瞄准和利用有助于生产和分销商品或服务的供应商、供应商和服务提供商的互连网络中的漏洞。攻击者不是直接攻击特定目标，而是渗透并破坏供应链中的受信任实体，以获得未经授权的访问或将恶意元素引入最终产品或服务。

供应链攻击的目标是利用对受感染实体的信任，并将其用作达到最终目标的垫脚石。通过破坏供应链中的可信链接，攻击者可以获得敏感信息的访问权限、引入恶意软件、篡改产品或操纵流程，从而导致各种有害结果。

供应链攻击采用不同的方法，包括：

软件或固件操纵：攻击者以产品的软件或固件为目标，在开发或制造过程中插入恶意代码或漏洞。

供应商妥协：网络犯罪分子破坏供应商或供应商的基础设施，以未经授权访问敏感数据或系统，并将其用作进一步攻击的发射台。

第三方组件利用：攻击者利用集成到产品或服务中的第三方组件中的漏洞，利用这些弱点来破坏整个系统。

假冒组件：恶意行为者将假冒或受损组件引入供应链，这可能导致最终产品出现安全漏洞或性能问题。