開箱即用的隱藏惡意軟件掠奪數百萬 Android 手機

趨勢科技的網絡安全研究人員發現了一起針對 Android 設備的供應鏈攻擊事件。他們發現數以百萬計的 Android 設備，包括經濟型智能手機、智能手錶、智能電視和其他智能設備，甚至在出廠前就感染了信息竊取惡意軟件。

在新加坡舉行的一次會議上，趨勢科技研究人員 Fyodor Yarochkin 和 Zhengyu Dong 闡明了這個問題的根本原因，將其歸因於原始設備製造商 (OEM) 之間的激烈競爭。雖然智能手機製造商將某些組件（例如固件）外包給第三方供應商，但手機固件價格的下降導致這些供應商難以通過其產品獲利。

因此，Yarochkin 解釋說，這些產品開始預裝不需要的額外“靜默插件”。趨勢科技的調查顯示，大量固件映像掃描惡意軟件，並識別出大約 80 種不同的插件。其中一些插件是更廣泛的“商業模式”的一部分，在地下論壇上出售，並在主流社交媒體平台和博客上做廣告。

這些插件具有多種功能，包括竊取敏感信息、短信、社交媒體帳戶接管、廣告和點擊欺詐、流量濫用等。 The Register 強調了一個特別嚴重的問題，其中一個插件允許購買者在長達五分鐘的時間內獲得對設備的完全控制，並將其用作“退出節點”。

據趨勢科技稱，數據表明全球有近 900 萬台設備成為此次供應鏈攻擊的受害者，其中大部分位於東南亞和東歐。雖然研究人員沒有明確指出罪魁禍首，但他們在討論中多次提到中國。

什麼是供應鏈攻擊？

供應鏈攻擊是網絡犯罪分子採用的一種惡意策略，旨在瞄準和利用有助於生產和分銷商品或服務的供應商、供應商和服務提供商的互連網絡中的漏洞。攻擊者不是直接攻擊特定目標，而是滲透並破壞供應鏈中的受信任實體，以獲得未經授權的訪問或將惡意元素引入最終產品或服務。

供應鏈攻擊的目標是利用對受感染實體的信任，並將其用作達到最終目標的墊腳石。通過破壞供應鏈中的可信鏈接，攻擊者可以獲得敏感信息的訪問權限、引入惡意軟件、篡改產品或操縱流程，從而導致各種有害結果。

供應鏈攻擊採用不同的方法，包括：

軟件或固件操縱：攻擊者以產品的軟件或固件為目標，在開發或製造過程中插入惡意代碼或漏洞。

供應商妥協：網絡犯罪分子破壞供應商或供應商的基礎設施，以未經授權訪問敏感數據或系統，並將其用作進一步攻擊的發射台。

第三方組件利用：攻擊者利用集成到產品或服務中的第三方組件中的漏洞，利用這些弱點來破壞整個系統。

假冒組件：惡意行為者將假冒或受損組件引入供應鏈，這可能導致最終產品出現安全漏洞或性能問題。