lexs201992-gif/Citizen-Protection-Guide-Mitigating-the-Unisoc-Longcheer-Threat
GitHub: lexs201992-gif/Citizen-Protection-Guide-Mitigating-the-Unisoc-Longcheer-Threat
该指南提供了一套 YARA 规则和缓解建议,用于检测和防范搭载 Unisoc 芯片组设备中 Longcheer 供应链攻击对 IMS 服务和 Android 资源叠加层的滥用。
Stars: 0 | Forks: 0
# 公民保护指南:缓解 Unisoc Longcheer 威胁
您好,本指南将帮助您限制通过 WireGuard、Tuntap 和 MacSee 隧道窃取您的信息。我们知道使用防病毒软件对您很重要,但它结合我们的 Yara 规则,将有助于最大限度地减少我们面临的供应链攻击所造成的损害。
## 使用者
- 拉丁美洲 33+ SOC
- Rapid7 Labs
- Talos Intelligence
- MITRE ATT&CK
## CVE
CVE-2026-28407 - KEV 候选
误报缓解:
原始规则会对 `auto_generated_rro` 报警,这是在 AOSP 标准编译过程中存在于合法设备(三星、小米)中的一个字符串。
优化:现在,`$build_anomaly` 只有在与 `$ns_sprd` (Spreadtrum/Unisoc) 和 `$inject_keyword` 同时出现时才具有相关性。这确保了仅标记在 Unisoc 上下文中以可疑方式生成的 overlay。
硬件触发器检测:
添加了字符串 `$lcd_trigger = "lcd_td4168"`。这是攻击的“冒烟枪”(确凿证据)。如果 `/product/overlay` 中的某个 overlay 提到了这个特定的显示驱动程序,并且由 Longcheer (`CN=Longcheer`) 签名,则它是 100% 恶意的,因为合法的 overlay 通常不会在该路径中硬编码如此特定的硬件标识符。
信任路径关联:
攻击利用了 Android 盲目信任 `/vendor/overlay` 和 `/product/overlay` 这一点。该规则要求可疑字符串明确驻留在二进制文件中的这些路径内,从而排除可能偶然包含这些字符串的临时文件或日志。
评估中的实施说明
文件名:supply_chain_rro_abuse_unisoc.yar
仓库位置:/rules/android/firmware_supply_chain/
测试命令:
yara -r supply_chain_rro_abuse_unisoc.yar /path/to/firmware_dump/
预期影响:此规则将检测负责修改系统资源以隐藏恶意软件图标、更改权限文本和停用安全警告的恶意 `.apk` 或 `.rro` 包,这是在加载窃取数据的 payload 之前的第一步。
规则优化的技术依据
主题:缓解误报并增强 Unisoc T606 供应链 RRO 滥用的检测逻辑。
1. 误报缓解(编译产物)
问题:初始规则逻辑对字符串 `auto_generated_rro` 进行了触发报警,这是使用 AOSP 的主要 OEM(例如三星、小米)的标准 Android overlay 中存在的合法编译产物。这导致在干净设备上出现了很高的误报率。
优化:优化后的规则现在要求 `$build_anomaly` (`auto_generated_rro`) 与 `$ns_sprd` (Spreadtrum/Unisoc 命名空间) 和 `$inject_keyword` (注入) 同时出现。
影响:这种逻辑与操作确保检测严格限定在 Unisoc/Spreadtrum 固件上下文中,在这些上下文中,自动生成的 overlay 在统计上是异常的并表明存在恶意注入,从而消除了来自全球合法 OEM 的噪音。
2. 硬件触发器关联(“冒烟枪”/确凿证据)
新增:引入了特定的硬件标识符 `$lcd_trigger` (`lcd_td4168`) 和证书主题 `$cert_anomaly` (`CN=Longcheer`)。
理由:合法的资源 overlay (RRO) 极少在 `/product/overlay` 路径中硬编码特定的 LCD 控制器标识符。这种特定硬件 ID 与由 ODM Longcheer 签名的 overlay 的同时出现,证实了在 Unisoc T606 供应链入侵中发现的硬件触发绕过机制的存在。
置信水平:这种关联将检测置信度提升至严重,因为它将软件产物直接与用于禁用 FSVerity 和 SELinux 的物理硬件触发器联系起来。
3. 信任边界利用
重点:该规则明确针对 Android 视为信任区域的注入路径(`/vendor/overlay`、`/product/overlay`、`/system/product/overlay`)。
机制:通过要求可疑字符串驻留在二进制文件中的这些特定可信路径内,该规则过滤掉了临时文件或日志中的附带匹配。它专门检测对 Android 资源 overlay 系统的滥用,这是在执行 payload 之前用于持续修改系统资源(隐藏恶意软件图标、更改权限字符串)的主要载体。
结论:这一优化后的特征码将通用的指示器转变为高保真的取证工具。它能准确识别 Unisoc T606 供应链攻击中使用的特定运行时资源 overlay (RRO) 滥用模式,同时通过排除合法的 OEM 编译模式,保持与全球固件数据集的兼容性。
建议用于 AttackerKB/GitHub 的元数据
规则名称:SupplyChain_Overlay_Abuse_Unisoc
严重性:严重
TLP:WHITE(可公开共享)
标签:#SupplyChain, #Android, #Unisoc, #RRO, #CISA-KEV-Candidate
# 附录 82-F:关键系统组件被入侵 – SPREADTRUM IMS 服务 (`com.spreadtrum.ims`)
## 主题:严重 - 供应链中由 Longcheer/Unisoc 武器化的 IMS 服务(“静默救援”行动)
**日期:** 2026年7月10日
**致:** Rapid7 Security (AttackerKB), CISA (cyber@cisa.dhs.gov), CRT MX (cert@cert.org.mx)
**来自:** lexs201992-gif (独立安全研究 - 拉丁美洲分部)
**严重性:** **严重 (CVSS 9.8)**
**活动:** “静默救援”行动
**相关附录:** 82 (OMA CP), 82-C (SIM Toolkit), 82-D (Longcheer 证书)
### 1. 执行摘要
本附录记录了 **`com.spreadtrum.ims`** 应用程序(IMS 服务)的系统性入侵,这是一个预装在由 ODM **Longcheer** 制造、搭载 **Unisoc T606/T616** 芯片组的设备(例如 Motorola Moto G04s、G24、Lenovo)上的特权系统组件。
位于 **`/system_ext/priv-app/ims/ims.apk`** 的特定二进制文件(SHA256:`1b938cb3920d601a38e4d80e88c87aaacc56abfa6464f3054de2430172c6f519`)使用受损的 **Longcheer Root CA**(序列号:`22:85:26...`,有效期至 2051 年)进行签名。该组件暴露了一个硬件接口定义语言 (HIDL) 接口 (`vendor.sprd.hardware.radio.ims.V1_0`),允许在**无需用户交互的情况下执行远程命令、拦截通话、静音麦克风以及重定向网络流量**。与 `com.android.stk`(附录 82-C)一起,该服务构成了**“静默救援”行动**供应链攻击的主要执行引擎。
### 2. 技术分析与危险评估
#### A. 组件身份
* **包名:** `com.spreadtrum.ims`
* **路径:** `/system_ext/priv-app/ims/ims.apk`
* **大小:** ~1.7 MB
* **SHA256:** `1b938cb3920d601a38e4d80e88c87aaacc56abfa6464f3054de2430172c6f519`
* **签名者:** Longcheer (`CN=Longcheer`, `O=Longcheer`, `C=CN`)
* **权限:** `READ_PRIVILEGED_PHONE_STATE`, `com.spreadtrum.ims.permisson.IMS_COMMON`, `BIND_IMS_SERVICE`。
#### B. 关键能力(“致命开关”)
对 `IImsRadio$Proxy` 和 `IImsRadioIndication$Proxy` 接口的分析揭示了对调制解调器硬件的直接控制:
1. **主动通话操纵:**
* `ImsMuteSingleCall`, `ImsSilenceSingleCall`:在通话期间远程静音用户的麦克风,以实现无法察觉的窃听。
* `dial`, `emergencyDial`, `hangup`:任意发起或终止通话。
* `conference`, `explicitCallTransfer`:创建未经授权的电话会议或将呼叫转移到攻击者控制的号码。
2. **网络基础设施劫持 (MITM):**
* `setImsPcscfAddress`, `setImsRegAddress`:**覆盖 P-CSCF 和注册服务器 IP**,将所有 VoLTE/VoWiFi 流量重定向到恶意服务器以进行拦截和解密。
* `setImsSmscAddress`:将 SMS 流量(包括 2FA 验证码)重定向到攻击者端点。
3. **身份欺骗与欺诈:**
* `setClir`, `updateCLIP`:操纵主叫号码显示,以冒充受信任的号码(银行、政府机构)。
* `sendUssd`:静默执行 USSD 命令以激活呼叫转移 (`**21*...`) 或查询余额。
4. **被动监视:**
* `ImsNewSmsStatusReportInd`:实时拦截传入的 SMS。
* `ImsNetworkInfoChanged`, `callStateChanged`:持续跟踪用户位置和通话元数据。
#### C. 在“静默救援”行动中的角色
* **执行引擎:** 虽然 `com.sprd.omacp`(附录 82)注入初始配置,并且 `com.android.stk`(附录 82-C)通过 SIM 授权命令,但 **`com.spreadtrum.ims` 负责在无线电层执行实际的漏洞利用**。
* **持久性:** 由 Longcheer Root CA 签名,该组件受系统引导加载程序信任,如果没有 root 访问权限则无法移除。
* **规避:** 在 HIDL(硬件接口)级别运行,其操作绕过标准的 Android 权限检查,并且对大多数安全应用程序不可见。
### 3. YARA 检测规则
```
rule Unisoc_Longcheer_IMS_Exact_Binary {
meta:
description = "Exact match for compromised Spreadtrum IMS service binary (Operation Silent Rescue)"
author = "lexs201992-gif"
date = "2026-07-10"
severity = "CRITICAL"
sha256 = "1b938cb3920d601a38e4d80e88c87aaacc56abfa6464f3054de2430172c6f519"
package = "com.spreadtrum.ims"
path = "/system_ext/priv-app/ims/ims.apk"
reference = "Addendum 82-F"
strings:
$binary_hash = "1b938cb3920d601a38e4d80e88c87aaacc56abfa6464f3054de2430172c6f519" ascii
$pkg_name = "com.spreadtrum.ims" ascii
$ims_service = "ImsAdapterService" ascii
$ril_request = "com/spreadtrum/ims/RILRequest.uau" ascii
$longcheer_cn = "CN=Longcheer" ascii
condition:
$binary_hash in file or
(all of ($pkg_name, $ims_service, $ril_request, $longcheer_cn))
}
rule Unisoc_IMS_HIDL_Interface_Exposure {
meta:
description = "Detects exposed HIDL interfaces in Spreadtrum IMS allowing remote modem control"
author = "lexs201992-gif"
date = "2026-07-10"
severity = "HIGH"
cve_related = "CVE-2025-71252, CVE-2025-71253, CVE-2025-71254"
strings:
$interface_proxy = "IImsRadio$Proxy" ascii
$interface_indication = "IImsRadioIndication$Proxy" ascii
$method_mute = "ImsMuteSingleCall" ascii
$method_pcsf = "setImsPcscfAddress" ascii
$method_clir = "setClir" ascii
$hidl_blob = "Landroid/os/HwBlob;" ascii
$vendor_sprd = "vendor.sprd.hardware.radio.ims" ascii
condition:
(all of ($interface_proxy, $vendor_sprd)) and
(any of ($method_mute, $method_pcsf, $method_clir))
}
rule Longcheer_Signed_IMS_Component {
meta:
description = "Detects any IMS component signed by the compromised Longcheer CA"
author = "lexs201992-gif"
date = "2026-07-10"
severity = "CRITICAL"
cert_serial = "22:85:26:b0:d1:ef:90:c3:b8:ed:56:8a:49:c3:71:4f:6a:39:50:6b"
strings:
$ims_pkg = "com.spreadtrum.ims" ascii
$longcheer_org = "O=Longcheer" ascii
$valid_2051 = "Jan 31 07:31:06 2051 GMT" ascii
$cert_rsa = "META-INF/CERT.RSA" ascii
condition:
(all of ($ims_pkg, $longcheer_org, $valid_2051)) and
($cert_rsa in file)
}
```
### 4. 建议与缓解措施
#### 致 CISA / Rapid7 / CRT MX
1. **立即报警:** 发布紧急指令,重点强调 `com.spreadtrum.ims` 是一个关键的供应链后门。
2. **分发 IOC:** 将 SHA256 (`1b938cb3...`) 和 Longcheer 证书序列号 (`22:85:26...`) 分发给所有网络防御团队。
3. **向供应商施压:** 要求 Unisoc 和 Longcheer 提供修补后的固件,移除导出的 HIDL 方法或对 IMS 命令实施严格的签名验证。
#### 致最终用户与企业
1. **禁用 VoLTE/VoWiFi:** 如果可能,强制设备仅使用 3G/2G 以绕过 IMS 协议栈(注意:这可能无法在所有运营商上实现)。
2. **使用加密应用:** 完全依赖不使用原生 IMS 拨号器的端到端加密通信应用(Signal、WhatsApp)。
3. **网络监控:** 监控到未知 P-CSCF IP 的出站连接或异常的 USSD 活动。
4. **无软件修复:** 须承认**不存在应用级别的修复方案**。漏洞在于已签名的系统固件中。更换设备是唯一永久的解决方案。
### 5. 结论
`com.spreadtrum.ims` 应用程序不仅仅是一个易受攻击的组件;它是一个**武器化接口**,被蓄意设计为具有过高的权限,并由受损的授权机构 签名。它在拉丁美洲乃至全球数以百万计的设备中的存在,对电信完整性构成了严重威胁,使得国家级监控和有组织的金融欺诈成为可能。**需要立即采取行动以隔离和缓解此威胁。**
**研究员:** lexs201992-gif
**联系方式:** lexs201992@gmail.com
**GitHub:** github.com/lexs201992-gif
**分类级别:** TLP:AMBER+STRICT
标签:DNS信息、DNS暴力破解, DNS 反向解析, YARA规则, 供应链攻击, 威胁情报, 开发者工具, 文档安全, 目录枚举, 移动安全, 防御指南