맬웨어가 사전 설치된 장치를 판매하는 중국 스마트 폰 제조업체

맬웨어가 사전 설치된 장치를 판매하는 중국 스마트 폰 제조업체

사전 설치된 멀웨어는 모바일 사용자가 모르게 구독 서비스를 신청합니다.

중국 제조업체 Transsion 의 수천 대의 저가 스마트 폰에서 모바일 사용자의 허가없이 구독 서비스에 가입하는 사전 설치된 맬웨어가 발견되었습니다 .

이 발견은 Upstream의 사기 방지 플랫폼 인 Secure-D에 의해 이루어졌으며 , 연구원들은 플랫폼에서 감지 된 의심스러운 거래의 출처에 대해 전체 조사를 수행했습니다.

작년 3 월부터이 회사는 에티오피아, 카메룬, 이집트, 가나 및 남아프리카의 Transsion Tecno W3 핸드셋에서 발생하는 비정상적으로 많은 수의 거래를 발견하고 차단했으며 다른 14 개국에서 추가로 사기 모바일 거래가 감지되었습니다.

현재까지 사용자의 허가없이 구독 서비스에 비밀리에 가입했을 수있는 의심스러운 거래는 총 1,920 만 건이 20 만 개가 넘는 고유 장치에서 기록되었습니다. 이러한 차단 된 트랜잭션의 대부분은 출처를 알 수없고 Android 앱 스토어에서 다운로드 할 수없는 com.mufc라는 앱 제품군에 의해 수행되었습니다.

Upstream의 Secure-D 책임자 인 Geoffrey Cleaves는 다음과 같이 모바일 광고 사기의 현재 상태에 대한 추가 통찰력을 제공했습니다.

“모바일 광고 사기는 빠르게 전염병이되고 있으며,이를 확인하지 않으면 모바일 광고가 제한되고 사업자에 대한 신뢰가 약화되고 사용자는 더 많은 비용을 지불해야합니다. 인식을 높이려면 통합 된 접근 방식이 필요합니다. 이 특정 위협은 가장 취약한 요소를 이용합니다. 일반적으로 저소득층 가정에서 수백만 달러를 구입 한 핸드셋에 맬웨어가 사전 설치되어 도착한다는 사실은 현재 업계가 직면하고있는 문제에 대해 알아야 할 모든 것을 알려줍니다. "

사전 설치된 맬웨어
많은 의심스러운 거래를 조사하기 위해 Secure-D는 새로 구입 한 Tecno W2 휴대폰과 실제 사용자의 장치를 모두 확보했습니다. 회사의 분석은 장치 모델과 펌웨어 버전의 조합을 사용하여 수행되었으며 테스트 된 스마트 폰은 다양한 네트워크 유형에 연결되었습니다.

Secure-D의 조사에 따르면 Transsion의 Tecno W2 장치에는 Triada 관련 맬웨어가 사전 설치되어 있습니다. Triada 는 소프트웨어 백도어 및 맬웨어 다운로더 역할을하는 인기있는 맬웨어입니다. 멀웨어는 원격 명령 및 제어 서버로부터 명령을받은 후 최상위 장치 권한을 사용하여 임의의 악성 코드를 실행 한 후 영구적 인 시스템 구성 요소 내부에 존재를 숨기고 탐지를 더 방지합니다.

Secure-D가 획득 한 Tecno W2 장치를 인터넷에 연결하면 Triada 악성 코드는 xHelper 라는 트로이 목마를 다운로드했습니다 . 트로이 목마는 재부팅, 앱 제거 및 공장 초기화에도 지속되므로 숙련 된 전문가라도 제거하기가 매우 어렵습니다.

Secure-D는 또한 xHelper 구성 요소가 특정 전화 네트워크와 같은 올바른 환경에 노출 될 때 새로운 구독 대상을 찾고 전화의 의심하지 않는 소유자를 대신하여 사기성 구독 요청을 제출하기 위해 쿼리를 수행했음을 발견했습니다. 이러한 요청은 자동으로 표시되지 않으므로 많은 신흥 시장에서 디지털 결제를 할 수있는 유일한 방법이므로 사용자의 선불 방송 시간을 소비했을 것입니다.

Transsion은 Google 보안 팀의 블로그 게시물이 Triada의 존재를 영향을받는 장치의 공급망 내 어딘가에있는 악의적 인 공급 업체의 행동에 기인 한 것으로 비난 할 수 없습니다 .