信息来源：FreeBuf

CheckPoint的专家们最近在38台Android设备中发现了严重的感染情况，这38台设备属于一家大型通讯公司和一家跨国科技企业。重点是这些恶意软件并不是用户主动安装的，而是在购买时就预装的——虽然并不是厂商的官方固件。

研究人员在报告中指出，恶意软件在用户收到手机之前就已经预装。这些恶意软件并不是在厂商官方ROM中的，而是在供应链中的某个环节被装上了。更可怕的是，有6款恶意软件是利用了系统权限装到设备上的，也就是说除非刷机，用户无法移除软件。

其中有6台设备内置了恶意广告网络，apk为com.google.googlesearch；

其他设备中存在Loki恶意软件，apk为com.androidhelper.sdk。

研究人员们发现的预装恶意软件大部分都是收集信息、散播广告的，不过其中一款是Slocker。这款软件是移动端的勒索软件。Slocker使用AES加密算法加密设备上所有设备，并且向用户索要赎金换取解密密钥。Slocker会使用Tor作为C&C服务器。

而Loki恶意软件也值得一提。这款软件非常复杂，能够使用多个组件运行，每个组件都有其自己的功能和角色。这款软件会显示非法的广告获取收入。程序还会窃取设备数据、安装到系统，从而获得手机全部权限并常驻手机。

影响范围

预装恶意软件的机型包括：

Galaxy Note 2

LG G4

Galaxy S7

Galaxy S4

Galaxy Note 4

Galaxy Note 5

Galaxy Note 8.0

Xiaomi Mi 4i

Galaxy A5

ZTE x500

Galaxy Note 3

Galaxy Note Edge

Galaxy Tab S2

Galaxy Tab 2

Oppo N3

Vivo X6 plus

Nexus 5

Nexus 5X

Asus Zenfone 2

Lenovo S90

OppoR7 plus

Xiaomi Redmi

Lenovo A850

涵盖的厂商包括三星、LG、小米、中兴、Oppo、Vivo、华硕、联想。

预装软件的危害

一般来说，用户要防范的是存在风险的网站，以及注意通过官方渠道和认证的应用商店下载应用。但是，仅仅这些防范不了本案中的这些恶意软件。预装的软件即便是对那些有安全意识的用户来说也是防不胜防。另外一个收到预装有恶意软件的用户很难察觉到其中的端倪。因此，从正规渠道购买手机也就成为需要注意的问题，这样才不致如上面这些手机一样，在非正规供货渠道预装恶意程序。

事实上，预装恶意软件事件是第一次了，有时候甚至是厂商预装的。过去安全专家们曾经多次报道过有关预装恶意软件的案例。2015年9月，G-Data的安全专家们发现了中国的Android设备中存在的预装恶意软件。2016年12月Doctor Web的专家们在多款廉价Android智能手机和平板的固件中发现了新的木马。

这些恶意代码往往会控制感染设备，让受害者下载、安装、执行恶意软件，从而访问数据、拨打高额手机号码。

*参考来源：CheckPoint，本文作者：Sphinx，转载请注明来自FreeBuf（FreeBuf.COM）