Theo báo VOV, văn phòng Bảo mật Thông tin Liên bang Đức (BSI) đưa ra cảnh báo bảo mật tới người dùng sau khi phát hiện bốn mẫu điện thoại đang bán tại nước này, gồm Doogee BL7000, M-Horse Pure 1, Keecoo P11 và VKworld Mix Plus bị nhiễm phần mềm độc hại cài sẵn trong firmware. Cả bốn smartphone đều chạy Android, xuất xứ tại Thâm Quyến (Trung Quốc) và thuộc phân khúc giá rẻ.
Theo đại diện BSI, bốn mẫu điện thoại đã bị nhiễm Andr/Xgen2-CY. Andr/Xgen2-CY sẽ hoạt động khi điện thoại được bật.
Mã độc này còn cho phép kẻ tấn công điều khiển điện thoại từ xa, như tải, cài đặt hoặc gỡ ứng dụng, mở website, hiển thị các quảng cáo không mong muốn. "Không thể gỡ Andr/Xgen2-CY bằng tay bởi nó nằm sâu trong hệ thống. Cách tốt nhất là cập nhật firmware mới", đại diện BSI nhấn mạnh.
Số liệu từ BSI cho thấy, có ít nhất 20.000 địa chỉ IP tại Đức bị Andr/Xgen2-CY kiểm soát và gửi dữ liệu mỗi ngày. Cơ quan này dự đoán, người dùng quốc gia khác sử dụng các mẫu smartphone trên nhiều khả năng cũng bị ảnh hưởng.
Báo Pháp Luật TPHCM cho hay công ty bảo mật mạng Sophos Labs của Anh lần đầu tiên phát hiện ra chủng phần mềm độc hại này vào tháng 10/2018. Trong một báo cáo được công bố vào thời điểm đó, Sophos cho biết phần mềm độc hại được nhúng bên trong ứng dụng SoundRecorder, được cài sẵn trên điện thoại thông minh uleFone S8 Pro.
Sophos cho biết Andr/Xgen2-CY được thiết kế để hoạt động như một “cửa hậu”. Công ty cho biết phần mềm độc hại này có thể thu thập dữ liệu gồm:
- Số điện thoại
- Thông tin vị trí, bao gồm kinh độ, vĩ độ và địa chỉ đường phố
- Mã định danh IMEI và Android ID
- Độ phân giải màn hình
- Nhà sản xuất, mô hình, thương hiệu, phiên bản hệ điều hành
- Thông tin CPU
- Dạng kết nối
- Địa chỉ MAC
- Dung lượng RAM và ROM
- Kích thước thẻ SD
- Ngôn ngữ
- Nhà cung cấp dịch vụ điện thoại di động
Khi các thông tin này được gửi về máy chủ từ xa, họ có thể sử dụng phần mềm độc hại để:
- Tải xuống và cài đặt ứng dụng
- Gỡ cài đặt ứng dụng
- Thực thi các lệnh shell
- Mở URL trên trình duyệt
Sophos cho biết tác giả của phần mềm độc hại đã cố gắng che giấu và ngụy trang nó như một phần của thư viện hỗ trợ trên Android.