دفتر امنیت ملی فدرال آلمان (Bundesamt für Sicherheit in der Informationstechnik - BSI) امروز هشدارهای امنیتی را درباره خطرناک بودن بدافزارهای بدست آمده در سیستم عامل حداقل چهار مدل گوشی های هوشمند فروخته در کشور جاسازی کرده است.

مدل های تحت تاثیر شامل Doogee BL7000، M-Horse Pure 1، Keecoo P11 و VKworld Mix Plus (بدافزار موجود در سیستم عامل، اما غیر فعال). همه چهار گوشی هوشمند اندرویدی کم پایان هستند.

PHONES INFECTED WITH BACKDOOR TROJAN
BSI گفت که سیستم عامل تلفن دارای تروجان backdoor به نام Andr / Xgen2-CY است.

شرکت Sophos Labs در ابتدا از این سوء استفاده از نرم افزارهای مخرب در اکتبر 2018 پرده برداری کرد. در یک گزارش که در آن زمان منتشر شد، Sophos گفت که این بدافزار در داخل نرم افزار به نام SoundRecorder تعبیه شده است که به طور پیش فرض بر روی گوشی های هوشمند uleFone S8 Pro گنجانده شده است.

Sophos گفت Andr / Xgen2-CY طراحی شده است که به عنوان یک پشت بام بی نظیر بر روی تلفن های آلوده کار می کند.

طراحی اولیه بدافزار پس از روشن شدن تلفن، شروع به کار با جزئیات، جمع آوری اطلاعات در مورد یک تلفن آلوده، بازگرداندن سرور فرماندهی و کنترل آن و در انتظار دستورالعمل های آینده بود.

با توجه به Sophos، Andr / Xgen2-CY می تواند اطلاعاتی مانند:

شماره تلفن دستگاه
اطلاعات مکان، از جمله طول جغرافیایی، عرض جغرافیایی، و آدرس خیابان
شناسه IMEI و Android ID
وضوح صفحه
سازنده، مدل، نام تجاری، نسخه سیستم عامل
اطلاعات پردازنده
نوع شبکه
آدرس MAC
RAM و اندازه ROM
اندازه کارت SD
زبان و کشور
ارائه دهنده سرویس تلفن همراه
هنگامی که نمایه یک تلفن آلوده در سرور مهاجم ثبت شد، می توانند از نرم افزارهای مخرب استفاده کنند:

دانلود و نصب برنامه ها
حذف برنامه ها
اجرای دستورات پوسته را اجرا کنید
آدرس URL را در مرورگر باز کنید (هرچند این تابع به نظر میرسد کار پیشرفت در نمونه ای است که ما آن را تجزیه و تحلیل کردیم)
از بین بردن اسلحه "غیر ممکن است"
بدافزار فقط چند ماژول تبلیغاتی بیش از حد پرخاشگرانه نیست. Sophos گفت که سازنده آن تلاش کرد تا کد مخرب را پنهان کند، و در پشت صحنه به عنوان بخشی از یک کتابخانه پشتیبانی از Android پنهان شد، به این معنی که آن را از نظر پنهان کند.

BSI امروز اعلام کرد: "دستی حذف نرم افزارهای مخرب به دلیل لنگرگاه آن در قسمت داخلی سیستم عامل امکان پذیر نیست.

بدافزار تنها می تواند از طریق به روز رسانی سیستم عامل که توسط سازندگان تلفن صادر شده حذف شود. متاسفانه، بهروزرسانیهای سیستم عامل بدون هیچگونه Backdoor مخرب فقط برای مدل Keecoo P11 قابل استفاده است، اما نه دیگران.

سازمان امنیت سایبری آلمان اعلام کرده است که حداقل 20،000 آدرس آی پی مبتنی بر آلمان را به طور روزانه به سرورهای فرماندهی و کنترل Andr / Xgen2-CY متصل می کند، که نشان می دهد هنوز هم بسیاری از کاربران آلمانی که از تلفن های آلوده برای انجام کارهای روزانه استفاده می کنند . به احتمال زیاد کاربران در کشورهای دیگر هم تحت تاثیر قرار می گیرند.

BSI هشدار می دهد که کاربران این دستگاه ها در حال حاضر در خطر هستند که بدافزار دیگری از سرورهای کنترل مخرب مانند ransomware، تروجان های بانکی یا ابزارهای تبلیغاتی به دستگاه های خود منتقل شوند.

یک لیست طولانی از حوادث پیشین
این حادثه اول نوع نیست. در ماه نوامبر سال 2016، دو گزارش از Kryptowire و Anubis Networks، دو شرکت چینی را پیدا کردند که اجزای سختافزاری را برای تولیدکنندگان بزرگتر تلفن چینی به کار می گرفتند.

در دسامبر 2016، محققان امنیتی از Dr.Web یک downloader برای نرم افزارهای مخرب اندرویدی یافتند که در سیستم عامل 26 مدل گوشی هوشمند اندرویدی نصب شده اند.

در ژوئیه 2017، Dr.Web نسخه های تروجان بانکی تریادا را که در سیستم عامل چند گوشی هوشمند اندرویدی پنهان شده اند، در بر داشت.

در مارس 2018 همان Dr.Web همان تریادا تروجان را یافت که در سیستم عامل 42 مدل دیگر گوشی های هوشمند آندروید قرار داشت.

در ماه مه 2018، محققان Avast Crazyton Backdoor Trojan را در سیستم عامل 141 Android smartphone یافتند.

در تمام حوادث، تمام مدل های گوشی های هوشمند از فروشندگان کمی شناخته شده اند که دارای دستگاه های اندروید با قیمت پایین هستند.