在1月份关于在美国销售给精打细算的用户的智能手机上预装的恶意软件的报告之后，Malwarebytes发现了另一台充满了恶意软件的移动设备。

1月，这家安全公司报告说，作为Sprint子公司Virgin Mobile的政府资助的生命线援助计划的一部分出售的UMX U686CL电话正被运送给用户，其中预先安装了两个恶意程序：一个无线更新应用程序和“设置”应用

在一个月内，UMX（Unimax）Communications向该设备提供了软件更新以完全删除该恶意软件，尽管它告诉安全公司该更新实际上是为了纠正漏洞。

现在，Malwarebytes的Nathan Collier说，通过Lifeline Assistance程序提供的另一种电话型号被发现包括预装的恶意软件：运行Android 7.1.1的ANS（美国网络解决方案）UL40。

虽然尚不确定维珍移动目前是否可以通过Assurance Wireless购买该设备，但其用户手册已在运营商的网站上列出，表明Assurance Wireless客户仍可以使用该设备。

与UMX U686CL一样，ANS UL40从一开始就具有受感染的“设置”和“无线更新”应用程序，尽管发现它们受到不同恶意软件变体的困扰。“设置”应用将删除Android / Trojan.Downloader.Wotby.SEK，而“无线更新”将获取Android / PUP.Riskware.Autoins.Fota的三个变体（依次安装了HiddenAds广告软件的变体）。

“ WirelessUpdate被归类为潜在有害程序（PUP）风险软件自动安装程序，它能够在未经用户同意或不知情的情况下自动安装应用程序。它还用作移动设备更新安全补丁，操作系统更新等的主要来源。”

深入研究后，安全研究人员发现ANS UL40上的Settings应用程序的数字证书与TeleEpoch Ltd相关，后者是在美国注册品牌“ UMX”的公司。

“我们来复习。我们在ANS UL40上有一个设置应用程序，带有由UMX注册品牌的公司签署的数字证书。对于记分板，这是两个不同的“设置”应用程序，它们在两个不同的手机制造商和型号上具有两个不同的恶意软件变体，似乎都与TeleEpoch Ltd有关。此外，到目前为止，只有两个品牌通过“生命线援助计划是ANS和UMX，” Collier 指出。

进一步的研究表明，ANS L51是另一种预装了恶意软件的ANS设备，并且具有与UMX U683CL相同的恶意软件变体。

Malwarebytes认为，就像UMX一样，ANS会尽快（而不是像稍后那样）从标记的设备中删除恶意软件，而且还提出了用户可以采取的一系列步骤，以确保HiddenAds不会再次感染其手机。

“选择廉价的移动设备时需要权衡。为了使移动设备轻而易举，一些预期的折衷是性能，电池寿命，存储空间，屏幕质量以及其他事项列表。但是，预算绝不意味着要通过预装的恶意软件破坏人身安全。时期”，科利尔总结道。