之前我们报道过两起Android手机暗藏漏洞的事件，而周一，来自俄罗斯杀软厂商Dr.Web（大蜘蛛）的研究人员又 发现 了暗藏漏洞的现象。

研究人员们发现，某些廉价的Android智能手机和平板中内置了恶意的固件，这些固件会从手机上收集数据，在软件上覆盖广告，还能下载一些无用的软件APK。

研究员调查了俄罗斯市场中销售的MTK平台手机，发现了固件中存在的两种downloader木马。

这两个木马被命名为Android.DownLoader.473.origin和Android.Sprovider.7。他们能够收集手机数据、连接C&C服务器、自动更新、根据指令静默下载安装其他应用、并且能在手机开机时自动运行。

影响手机列表：

联想A319

联想A6000

MegaFon Login 4 LTE

Irbis TZ85

Irbis TX97

Irbis TZ43

Bravis NB85

Bravis NB105

SUPRA M72KG

SUPRA M729G

SUPRA V2N10

Pixus Touch 7.85 3G

Itell K3300

General Satellite GS700

Digma Plane 9.7 3G

Nomi C07000

Prestigio MultiPad Wize 3021 3G

Prestigio MultiPad PMT5001 3G

Optima 10.1 3G TT1040MG

Marshal ME-711

7 MID

Explay Imperium 8

Perfeo 9032_3G

Ritmix RMD-1121

Oysters T72HM 3G

Irbis tz70

Irbis tz56

Jeka JK103

研究人员指出“大家都知道网络罪犯通过提高应用的下载量、传播广告软件来赚取收入”，正因因此，两款木马都因为外包商惟利是图而被加入到了Android系统镜像中。

Android.Sprovider.7木马是在联想A319和A6000机型中发现的，这款木马具备以下功能：

下载安装apk文件

在浏览器中打开特定链接

使用标准的系统应用拨打电话

覆盖所有应用显示广告

在状态栏显示广告

添加快捷方式到主屏

更新恶意模块

研究人员在其他设备上发现的木马名为Android.DownLoader.473.origin，它能够安装其他恶意软件，包括一款名为H5GameCenter的广告软件。

H5GameCenter会在所有正在运行的应用上显示一个小图片，用户无法关闭。即便用户卸载该应用，固件中的木马还会自动重装。

笔者建议出现此问题的用户使用杀毒软件扫描设备，随后使用包禁用软件如Debloater禁用相关系统软件。

固件后门屡屡发生

上个月，Kryptowire安全研究人员称，他们发现在美国销售的大量廉价Android手机含有隐藏的后门，这些手机会秘密收集机主信息并发送到中国的服务器。而生产这些固件的广升公司发布公告称，“相关信息采集，仅用于更好地实现产品终端系统的升级和优化服务”。

同样在上月，BitSight公司发现了Ragentek固件中的漏洞，黑客可以利用漏洞以root身份执行恶意代码。