手机安全企业Lookout的安全研究人员表示，他们在销往亚非地区的手机上发现被预装了恶意软件DeathRing(死亡铃声)。该恶意软件被伪装成一个手机铃声app，但实际上它可从命令控制服务器上将SMS及WAP(无线应用协议)内容下载到受害人手机上进行恶意活动。

Lookout研究人员指出，DeathRing可能会利用短信窃取受害者的个人信息。同时也可能利用WAP或者浏览器内容诱导受害者下载APK(安卓应用程序)。DeathRing有两种激活方式，都与受害者使用手机有关：一是会在手机关机且重启五次之后，在第五次重启时启动该恶意软件;第二种情况是在受害者在进行关闭或启动行为至少50次之后，会激活恶意软件。

据称，这一恶意软件是一款来自中国的木马病毒。2014年6月，印度尼西亚、尼日利亚、坦桑尼亚以及肯尼亚首次发现Deathring，随后在阿富汗、越南发现，这是一个本地化威胁，但对亚非地区的影响不容小觑。

Lookout高级产品经理Linden表示，DeathRing存在于许多手机的系统目录中，而这是消费者或零售商无法触及的区域。攻击者可能是在分销流程中的某个环节且在手机到达零售商手中之前将恶意软件安装到手机中的。这些手机多数来自三级制造商且多销往发展中国家。这些手机机型包括：

• 山寨三星GS4/Note II

• 多款TECNO 设备

• 金立 Gpad G1

• 金立GN708W

• 金立GN800

• 宝创火箭S2350

• 高科 Tab

• Karbonn TA-FONE A34/A37 (印度自主手机品牌)

• 佳域山寨 G4S – Galaxy S4

• 海尔 H7

• 未知厂商生产的山寨三星 i9502

在今年早些时候，Lookout检测到另外一款预装恶意软件Mouabad。与DeathRing类似，Mouabad也在供应链中的某个环节中被预先安装，并且受影响的主要是亚洲国家。此外，在西班牙也检测到Mouabad的存在。

Linden表示，这些供应链攻击类型在全球范围内相对少见。他指出，“你可以想一下，在某种程度上，这是一种针对性更强的攻击，因为它发生在具体的制造链中并且主要针对某些类型的手机。然而，对于那些被攻击的区域而言，这也是非常重要的。实际上，归根到底需要对供应链进行例行审计。他们可以运行更好的质量控制计划甚至可以从终端零售商那里购买设备来判断它们是否符合质量标准。”

Linden指出，Lookout联系了受DeahRing恶意软件感染的制造商但暂未有回应。Lookout建议受影响的消费者检查一下电话账单是否有可疑收费。同时，消费者可以采取措施退回手机或者如果知道自己的手机被感染可要求退款。

(责任编辑：冬天的宇)