Ragentek固件被廣泛應用在近300萬預算設備中，而日前在Ragentek固件中發現了一個Android后門程序，該后門程序允許攻擊者使用中間人攻擊并獲得完全root訪問權限。那么，這個后門程序是如何運作的，我們該如何應對？

Michael Cobb：固件是存儲在非易失性內存（例如ROM、可擦除可編程只讀內存或閃存）中的低級代碼，用于更新。它在制造過程中嵌入到硬件中，并包含允許硬件運行的基本指令。與操作系統和應用軟件一樣，固件也可能包含可被利用的漏洞。

BitSight Technologies公司安全研究人員發現，在多種廉價Android手機品牌中，由于存在隱藏的后門程序，這些設備很容易受到代碼執行攻擊。這個Android后門程序是很大的安全隱患，因為攻擊者可利用它來遠程控制易受攻擊的設備。來自BLU Products、Infinix和DOOGEE公司的手機最容易受到攻擊。

該固件二進制文件由Ragentek Group開發，它以root權限運行，同時，它采用空中更新的方式，不過，這是通過未加密的通道進行。這不僅會在任何通信期間暴露用戶特定信息，而且還允許攻擊者通過中間人攻擊作為以特權用戶身份遠程對設備執行系統命令。這可能導致安裝具有系統特權或配置更改的惡意軟件。

該固件會積極嘗試隱藏自身，Linux ps和top命令返回的運行進程列表中去除二進制名稱的引用，而Java框架也被修改為隱藏引用。

兩個未注冊的互聯網域名被硬編碼到該固件，如果注冊的話，將使攻擊者遠程完全控制易受攻擊的設備，而不需要執行MitM攻擊。BitSight Technologies公司的子公司AnubisNetworks已經注冊了這些域名以防止這種攻擊發生。

該Android后門程序漏洞被標記為CVE-2016-6564，該CERT注釋包括迄今為止發現的易受攻擊型號列表。該后門程序可能是無意的，但企業應該認真對待這個問題，因為很多手機不太可能會有更新。到目前為止，貌似只有BLU Products已經發布補丁，而目前尚不清楚其有效性以及它是自動更新還是手動更新的。

雖然AnubisNetworks現在擁有這兩個硬編碼域，但精明的攻擊團隊可臨時劫持指向這兩個域的IP地址，并執行攻擊。為了檢查手機是否包含該Android后門程序，應監控到以下域的出站連接：oyag[.]lhzbdvm[.]com、oyag[.]prugskh[.]net和oyag[.]prugskh[.]com。

在安裝有效補丁之前，受影響用戶應只使用VPN軟件來連接互聯網。