圖片來源: 

Tecno

資安業者Secure-D於本周警告,由中國業者傳音(Transsion)所生產的手機預載了廣告詐騙程式,這些低階手機鎖定非洲市場,從2019年3月到2020年8月,該公司總計從19個國家的逾20萬支傳音手機,封鎖了1,920萬個可疑的訂閱交易,而且這些訂閱很可能都是透過背景執行,完全沒經過使用者的同意。

傳音為中國的手機製造商,專攻非洲的低價手機市場,為當地首屈一指的手機品牌,市占率約為40%。

當Secure-D在去年察覺有大量的傳音手機遞送可疑的訂閱交易時,旋即展開調查,先購買數支傳音所生產的Tecno W2手機,以分析可疑流量的來源,這些手機的目的不同,而且也使用了不同電信營運商的網路,進而發現這些手機在韌體內預載了後門程式Triada

Triada會下載另一個惡意程式xHelper,當發現手機處於適當環境(例如在南非網路中),並藉由Wi-Fi或3G連網時,它就會自動連至訂閱網站,並自行訂閱付費服務。由於非洲大多數用戶都是使用預付卡,訂閱費用可直接自預付卡中扣除,而惡意程式的作者則可因為相關的訂閱拆分廣告收益。

此外,Triada/xHelper也會下載其它的惡意程式,當研究人員切斷手機連網能力,並移除所下載的惡意程式之後,它們在缺乏網路的狀態下,竟然在5分鐘之後全部自動重新安裝完畢。

上述的程序都是在背景中自動執行,既不會受到電信業者的干預,使用者亦無從察覺。在追查之後,Secure-D發現這些惡意網站與傳音並無關聯,判斷駭客是入侵了傳音的供應鏈。

熱門新聞

Advertisement