Một số điện thoại thông minh Android giá rẻ và máy tính bảng khi xuất xưởng đã bị cài firmware độc hại, ngấm ngầm thu thập dữ liệu về các thiết bị bị nhiễm, hiển thị quảng cáo trên đầu trang của ứng dụng đang chạy và tải file APK không mong muốn trên các thiết bị của nạn nhân.
Các nhà nghiên cứu bảo mật của Công ty chuyên về chống virus Dr.Web Nga đã phát hiện ra hai loại Trojan downloader được tích hợp trong firmware của một số lượng lớn các thiết bị Android phổ biến hoạt động trên nền tảng MediaTek, hầu hết được chào bán tại Nga.
Hai Trojans phát hiện được là Android.DownLoader.473.origin và Android.Sprovider.7, có khả năng thu thập dữ liệu của các thiết bị bị lây nhiễm, liên lạc với các máy chủ ra lệnh và kiểm soát, tự động cập nhật, bí mật tải về, cài đặt các ứng dụng khác dựa trên các hướng dẫn nhận được từ máy chủ và chạy mỗi khi thiết bị được khởi động lại hoặc được mở.
Dưới đây là danh sách các mẫu thiết bị Android bị ảnh hưởng bởi các phần mềm độc hại: Lenovo A319, Lenovo A6000, MegaFon Login 4 LTE, Bravis NB85, Bravis NB105, Irbis TZ85, Irbis TX97, Irbis TZ43, Irbis tz56, Pixus Touch 7.85 3G, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Itell K3300, Digma Plane 9.7 3G, General Satellite GS700, Nomi C07000, Optima 10.1 3G TT1040MG, Marshal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Ritmix RMD-1121, Oysters T72HM 3G, Irbis tz70, Jeka JK103.
Các nhà nghiên cứu của Dr.Web đã chỉ ra, tội phạm có thể kiếm tiền bằng cách tăng lượng tải xuống các ứng dụng và phân phối các phần mềm quảng cáo. Do đó, cả hai loại Trojan này đã được các nhà gia công “bất lương” - những người tham gia vào việc tạo ra các file image hệ thống trên thiết bị, tích hợp với firmware Android để kiếm tiền từ người dùng.
Trojan Android.Sprovider.7 được phát hiện trong firmware của Lenovo A319 và điện thoại thông minh A6000 Lenovo. Trojan này có khả năng: Tải về, cài đặt và chạy các file APK; Mở liên kết được thiết lập trong một trình duyệt; Thực hiện cuộc gọi điện thoại đến số nhất định bằng cách sử dụng một ứng dụng hệ thống; Chạy ứng dụng cuộc gọi tiêu chuẩn trong hệ thống, trong đó một số điện thoại cụ thể đã được quay số; Hiển thị quảng cáo trên đầu trang của tất cả các ứng dụng. Ngoài ra, hiển thị quảng cáo trên thanh trạng thái; Tạo một shortcut trên màn hình chính; Cập nhật module độc hại nghiêm trọng.
Mặt khác, Android.DownLoader.473.origin tìm thấy trong các thiết bị còn lại, tải và cài đặt các chương trình phần mềm độc hại khác và các ứng dụng không mong muốn, bao gồm một chương trình quảng cáo được gọi là H5GameCenter. H5GameCenter sẽ hiển thị một hộp nhỏ trên đầu trang của tất cả các ứng dụng đang chạy và không có tùy chọn để vô hiệu hóa nó. Thậm chí nếu người dùng bị lây nhiễm loại bỏ ứng dụng này, Trojan firmware sẽ tự cài đặt lại ứng dụng.
Tháng 11/2016, các nhà nghiên cứu bảo mật từ Kryptowire phát hiện backdoor được cài trong firmware của nhiều smartphone Android giá rẻ được bán ở Mỹ, mà ngấm ngầm thu thập dữ liệu về người sở hữu điện thoại và gửi đến một máy chủ Trung Quốc mà không người dùng không hay biết.
Các phần mềm firmware backdoored được phát triển bởi công ty Công nghệ Adups Thượng Hải, trong đó tuyên bố rằng phần mềm của mình chạy bản cập nhật cho hơn 700 triệu thiết bị trên toàn thế giới.
Trong nghiên cứu riêng biệt vào tháng trước, công ty đánh giá an ninh BitSight phát hiện ra một lỗ hổng trong firmware Ragentek được sử dụng trong một số loại thiết bị Android giá rẻ, cho phép kẻ tấn công thực thi mã độc từ xa với quyền root, chuyển quyền kiểm soát các thiết bị cho kẻ tấn công.
