Cover Image

I ricercatori trovano malware preinstallato su vari telefoni Android negli Stati Uniti

10 Luglio 2020 - Tempo di lettura: 8 minuti

A seguito di un rapporto di gennaio sul malware trovato preinstallato su smartphone venduti negli Stati Uniti a utenti attenti al budget, Malwarebytes ha scoperto fin dall'inizio un altro dispositivo mobile pieno di malware.

A gennaio, la società di sicurezza ha riferito che il telefono UMX U686CL, venduto nell'ambito del programma Lifeline Assistance finanziato dal governo da Virgin Mobile, una consociata di Sprint, veniva spedito agli utenti con due programmi dannosi preinstallati: un'applicazione Wireless Update e un'app Impostazioni.

Nel giro di un mese, UMX (Unimax) Communications ha consegnato un aggiornamento software al dispositivo per rimuovere completamente il malware, sebbene abbia comunicato alla società di sicurezza che l'aggiornamento doveva, in effetti, correggere una vulnerabilità.

Ora, Nathan Collier di Malwarebytes afferma che è stato scoperto che un altro modello di telefono fornito tramite il programma Lifeline Assistance include malware preinstallato: ANS (American Network Solutions) UL40 con Android 7.1.1.

Sebbene non sia sicuro che il dispositivo sia attualmente disponibile tramite Assurance Wireless di Virgin Mobile, il relativo manuale dell'utente è elencato sul sito Web del corriere, suggerendo che potrebbe essere ancora disponibile per i clienti di Assurance Wireless.

Analogamente all'UMX U686CL, ANS UL40 presenta fin dall'inizio app infette per le impostazioni e l'aggiornamento wireless, sebbene siano state trovate afflitte da diverse varianti di malware. L'app Impostazioni rilascerebbe Android / Trojan.Downloader.Wotby.SEK , mentre Wireless Update recupererebbe tre varianti di Android / PUP.Riskware.Autoins.Fota (che a sua volta installava varianti dell'adware HiddenAds).

“WirelessUpdate è classificato come un programma di installazione automatica del riskware PUP (Potentially Unwanted Program) che ha la capacità di installare automaticamente le app senza il consenso o la conoscenza dell'utente. Funziona anche come la principale fonte del dispositivo mobile di aggiornamento di patch di sicurezza, aggiornamenti del sistema operativo, ecc. ”, osserva Collier.

Scavando più a fondo, il ricercatore di sicurezza ha scoperto che il certificato digitale per l'app Impostazioni su ANS UL40 è legato a TeleEpoch Ltd, la società che ha registrato il marchio "UMX" negli Stati Uniti.

"Ripassiamo. Abbiamo trovato un'app Impostazioni su una ANS UL40 con un certificato digitale firmato da una società che è un marchio registrato di UMX. Per il quadro di valutazione, si tratta di due diverse app di Impostazioni con due diverse varianti di malware su due diversi produttori e modelli di telefoni che sembrano tutti legati a TeleEpoch Ltd. Inoltre, finora, le uniche due marche hanno trovato malware preinstallato nell'app Impostazioni tramite il Il programma di assistenza alla vita è ANS e UMX ”, osserva Collier .

Ulteriori ricerche hanno rivelato che ANS L51 era un altro dispositivo ANS fornito con malware preinstallato e che aveva identiche varianti di malware identificate su UMX U683CL.

Malwarebytes ritiene che ANS rimuoverà il malware dai dispositivi contrassegnati prima piuttosto che successivamente, proprio come ha fatto UMX, ma presenta anche una serie di passaggi che gli utenti possono adottare per garantire che HiddenAds non infetti nuovamente i propri telefoni.

"Ci sono compromessi nella scelta di un dispositivo mobile economico. Alcuni compromessi previsti sono le prestazioni, la durata della batteria, le dimensioni di archiviazione, la qualità dello schermo e un elenco di altre cose al fine di rendere un dispositivo mobile leggero sul portafoglio. Tuttavia, il budget non dovrebbe mai significare compromettere la propria sicurezza con malware preinstallato.", conclude Collier.

intopic.it