Theo đó, các mẫu điện thoại bị ảnh hưởng bao gồm Doogee BL7000 , M-Horse Pure 1 , Keecoo P11 và VKworld Mix Plus.
Văn phòng Bảo mật thông tin Liên bang Đức (BSI) cho biết trên firmware của những mẫu điện thoại kể trên có chứa trojan Andr/Xgen2-CY.
Công ty bảo mật mạng Sophos Labs của Anh lần đầu tiên phát hiện ra chủng phần mềm độc hại này vào tháng 10-2018. Trong một báo cáo được công bố vào thời điểm đó, Sophos cho biết phần mềm độc hại được nhúng bên trong ứng dụng SoundRecorder, được cài sẵn trên điện thoại thông minh uleFone S8 Pro.
Sophos cho biết Andr/Xgen2-CY được thiết kế để hoạt động như một “cửa hậu” và không thể gỡ bỏ khỏi điện thoại. Công ty cho biết, phần mềm độc hại này có thể thu thập dữ liệu gồm:
- Số điện thoại
- Thông tin vị trí, bao gồm kinh độ, vĩ độ và địa chỉ đường phố
- Mã định danh IMEI và Android ID
- Độ phân giải màn hình
- Nhà sản xuất, mô hình, thương hiệu, phiên bản hệ điều hành
- Thông tin CPU
- Dạng kết nối
- Địa chỉ MAC
- Dung lượng RAM và ROM
- Kích thước thẻ SD
- Ngôn ngữ
- Nhà cung cấp dịch vụ điện thoại di động
Khi các thông tin này được gửi về máy chủ từ xa, họ có thể sử dụng phần mềm độc hại để:
- Tải xuống và cài đặt ứng dụng
- Gỡ cài đặt ứng dụng
- Thực thi các lệnh shell
- Mở URL trên trình duyệt
Sophos cho biết tác giả của phần mềm độc hại đã cố gắng che giấu và ngụy trang nó như một phần của thư viện hỗ trợ trên Android.
Cơ quan an ninh mạng Đức cho biết họ đã thấy ít nhất 20.000 địa chỉ IP có trụ sở ở Đức kết nối với máy chủ của Andr/Xgen2-CY hàng ngày, điều này cho thấy vẫn còn rất nhiều người dùng Đức sử dụng điện thoại bị nhiễm phần mềm độc hại, chưa kể người dùng ở các quốc gia khác rất có thể cũng bị ảnh hưởng.
Theo BSI, người dùng không thể gỡ bỏ phần mềm độc hại theo cách thông thường. Những thiết bị dính phần mềm độc hại có thể bị mã hóa dữ liệu và tống tiền, mất tài khoản ngân hàng,…
Đây không phải là lần đầu tiên các nhà nghiên cứu phát hiện ra phần mềm độc hại được cài sẵn trên các mẫu điện thoại Trung Quốc. Còn nhớ vào tháng 11-2016, Kryptowire và Anubis Networks đã phát hiện hai công ty Trung Quốc nhúng một chức năng giống như “cửa hậu” vào trong các dòng code.
Vào tháng 12-2016, các nhà nghiên cứu bảo mật của Dr.Web đã tìm thấy một trình tải xuống phần mềm độc hại được nhúng trong firmware của 26 mẫu điện thoại thông minh Android.
Vào tháng 7-2017, Dr.Web đã tìm thấy các phiên bản trojan ngân hàng Triada được ẩn trong firmware của một số điện thoại thông minh Android.
Vào tháng 3-2018, cùng một Dr.Web đã tìm thấy trojan Triada tương tự được nhúng trong firmware của 42 mẫu điện thoại thông minh Android khác.
Vào tháng 5-2018, các nhà nghiên cứu của Avast đã tìm thấy trojan Cosiloon (backdoor) trong firmware của 141 điện thoại thông minh Android.
Đa phần những mẫu điện thoại được cài sẵn phần mềm độc hại đều có giá rẻ và đến từ các nhà cung cấp ít tên tuổi.