事件前言

在不久的将来，移动设备就会在系统应用程序上预装恶意软件，而这个想法是十分可怕的。 虽然这些话听起来很像一个对未来的预测，但是将移动恶意软件预先安装在设备中确实会带来非常严重的后果。

在我们过去的分析中，我们已经看到预先安装的恶意软件的实例，如臭名昭着的Adups威胁等等。 “预安装”是指恶意软件已预先安装在系统级别的设备上，因此无法被用户删除，只能够设置其为不可用。 但是，通过使用文章中的解决方法帮助当前用户卸载应用程序，并修复预先安装的恶意软件的一些迭代工具。 此方法涉及将移动设备连接到PC并使用ADB命令行工具。 按照我们的指南，我们可以在“Adups的删除说明”中了解更多信息。

虽然这种方法有点乏味，但它确实可以防御恶意软件的侵害。 相比之下，修复预安装的恶意软件却更加困难。 我们现在便可以看到恶意软件作者所编写的设备正常运行所需的系统应用程序。，并通过在这些必要的应用程序中注入恶意代码。攻击者已经通过技术手段更新预装恶意软件的一些特性。

预安装应用的类型

根据应用在设备上的位置，我们可以将其分为两种类型的预安装应用。 此目录对于应用程序来说是十分重要的。

第一个目录是/system/app/。 此目录中的应用程序通常是用户需要的，但对于设备运行并不重要。 在功能上包含相机，蓝牙，设备上的FM收音机或照片查看的应用程序均存储在此位置。 这个目录也是设备将缓存暂时存储的位置。 卸载其中一些应用程序可能会降低用户体验，但它不会阻止设备运行。

另一个位置是/system/priv-app/。 这是重要的应用程序所在的位置。 例如，设置功能和系统UI等应用程序（包括Android设备上后退/主页按钮的功能）存储在此处。 换句话说，你绝对不能卸载这些应用程序。 遗憾的是，最新的预安装恶意软件瞄准了这个目录。

研究证据

由于新版本的恶意软件攻击力极强，所以我们列举两个研究案例。

案例研究1：System UI中的Riskware自动安装程序

该设备的型号是THL T9 Pro。 恶意软件是Android/ PUP.Riskware.Autoins.Fota.INS。 虽然恶意代码看起来类似于普通的预装恶意软件Adups，
但它的核心系统应用与UI部分整合在一起，而不是像UpgradeSys这样的独立应用程序。 感染会导致系统崩溃，因为它会反复安装Android / Trojan.HiddenAds软件。 我们并不知道这是否是Adups内部自带的功能，从另一方面说，我们并不知道代码是否是从Adups Auto Installer中获取并插入到系统UI中。

案例研究2：监控设置功能

这次，我们使用的设备是UTOK Q55。 恶意软件是Android/Monitor.Pipe.Settings
。 “监听设备”类别并不需要Potentially Unwanted Programs (PUPs)
程序。 顾名思义，Monitor应用程序从设备收集并报告敏感信息。 之后，这个特殊的Monitor应用程序在重要的应用设置中进行了硬编码。 实际上，它用于卸载那些拥有自行卸载以及修复功能的app - 带有讽刺韵味。

防御措施

这是这些攻击中存在的最大问题 - 目前还没有好的补救方法。 我和被感染者一同工作。我可以提供一些指导措施。 如果可以找到系统应用程序的正常版本来替换恶意版本，则我们便可以替换它。 用户需要查找与当前Android OS版本的设备匹配的系统应用程序。 如果找到，您可以尝试使用以下方法：

• 阅读Adups删除说明中的免责声明。

• 按照Adups的删除说明中的将应用程序恢复到设备上的步骤（无需恢复出厂设置），以保存要替换的系统应用程序的完整路径。

• 从网络上下载完整的应用版本

用户可以使用热门网站VirusTotal来确定它是否不含恶意代码。

• 从PC上将app移动到设备中

adb将<PC file path>\<filename of clean version.apk>移动到/sdcard/Download/<filename of clean version.apk>中

• 卸载旧的、带有恶意程序的app

adb运行shell命令pm uninstall -k –user 0 <恶意软件app的包名>

• 安装新的应用

运行pm install -r –user 0 /sdcard/Download/<filename of clean version.apk>

• 查看是否正常工作

通常会遇到的错误如下：

• [INSTALL_FAILED_VERSION_DOWNGRADE]

• [INSTALL_FAILED_UPDATE_INCOMPATIBLE]

• [INSTALL_FAILED_OLDER_SDK]

如果新的版本安装失败，你仍可以恢复到旧版本

使用命令：pm install -r –user 0 <full path of the apk saved from second step>。

实质性工作

目前，解决这个问题的最好办法就是：

1. 远离这些被感染的设备。 以下是我们目前看到的受到影响的制造商/型号：

THL T9 Pro
UTOK Q55
BLU Studio G2 HD

1. 如果你已经购买了一个，那就退货吧。

2. 如果用户已经购买了一个设备却无法退货，那可以尝试联系供货商。

作为一名移动恶意软件研究人员，我很难写出我们目前无法修复的恶意软件名称。 然而，公众需要知道相关恶意软件仍逍遥法外。不论这些软件的价格或带来的后果如何，任何人都不应该容忍此类移动设备感染。 我们也将继续寻找处理这些感染的方法。

APK样例

Detection: Android/PUP.Riskware.Autoins.Fota.INS
MD5: 9E0BBF6D26B843FB8FE95FDAD582BB70
Package Name: com.android.systemui

Detection: Android/Monitor.Pipe.Settings
MD5: DC267F396FA6F06FC7F70CFE845B39D7
Package Name: com.android.settings

本文为翻译稿件，翻译自：https://blog.malwarebytes.com/cybercrime/2019/01/the-new-landscape-of-preinstalled-mobile-malware-malicious-code-within/