google el dia d'ahir (dijous 6 de juny) informo mitjançant una publicació del seu bloc de Google Security Bloc, que ha detectat la presència d'un backdoor preinstal·lat en dispositius Android abans d'abandonar les fàbriques.
Google ha estudiat la situació després que va ser revelada per especialistes en seguretat informàtica uns anys abans. Aquestes són les aplicacions malicioses de la «família Triada» dissenyades per enviar spam i publicitar en un dispositiu Android.
sobre Triada
Segons Google, Triada ha desenvolupat un mètode per a instal·lar malware en telèfons Android pràcticament a la fàbrica, fins i tot abans que els clients comencessin o fins i tot instal·lessin una sola aplicació en els seus dispositius.
Va ser al març de 2016 quan Triada va ser descrita per primera vegada en una publicació de bloc en el lloc web de la companyia de seguretat informàtica Kaspersky Lab. Una altra publicació de l'bloc va ser dedicada per la companyia el juny de 2016.
En aquest moment, era un troià arrelat i desconegut pels analistes de la companyia de seguretat que intentaven explotar dispositius Android després de rebre Privilegis elevats.
Segons l'explicació de Kaspersky Lab per a 2016, una vegada que Triada s'instal·la en un dispositiu, el seu propòsit principal era instal·lar aplicacions que podrien usar-se per enviar correu no desitjat i mostrar anuncis.
Va utilitzar un impressionant conjunt d'eines, incloses les vulnerabilitats de rooting que eviten les proteccions de seguretat integrades d'Android i les formes de modificar el procés Zygote de el sistema operatiu Android.
Aquestes són les marques afectades
Aquestes aplicacions malicioses es van trobar en 2017 preinstal·lades en diversos dispositius mòbils Android, inclosos els telèfons intel·ligents de la marca Leagoo (Models M5 més i M8) i Nomu (Models S10 i S20).
Els programes maliciosos en aquesta família d'aplicacions ataquen el procés de sistema anomenat Zygote (L'iniciador de processos d'aplicacions de tercers). A l'injectar-se en Zygote, aquests programes maliciosos poden infiltrar-se en qualsevol altre procés.
«Libandroid_runtime.so és utilitzat per totes les aplicacions d'Android, de manera que el malware s'injecta a l'àrea de memòria de totes les aplicacions que s'executen ja que la funció principal d'aquest malware és descarregar components maliciosos addicionals. «
A causa de que va ser construït en una de les biblioteques de sistema operatiu i es troba a la secció Sistema, que no pot ser eliminat utilitzant mètodes estàndard, segons l'informe. Els atacants han pogut utilitzar silenciosament la porta del darrere per descarregar i instal·lar mòduls subrepticis.
Segons l'informe al Bloc de seguretat de Google, la primera acció de Triada va ser instal·lar un tipus de superusuari d'arxius binaris (la seva).
Aquesta subrutina va permetre que altres aplicacions en el dispositiu usin permisos de root. Segons Google, el binari utilitzat per Triada requeria una contrasenya, el que significa que era únic en comparació amb els arxius binaris comuns a altres sistemes Linux. Això significava que el malware podia falsificar directament totes les aplicacions instal·lades.
Segons Kaspersky Lab, expliquen per què Triada és tan difícil de detectar. En primer lloc, modifica el procés de Zygote. zygote és el procés bàsic de sistema operatiu Android que s'usa com a plantilla per a cada aplicació, el que significa que una vegada que el troià ingressa a el procés, es converteix en part de cada aplicació que s'inicia en el dispositiu.
En segon lloc, anul·la les funcions de sistema i oculta els seus mòduls de la llista de processos en execució i aplicacions instal·lades. Per tant, el sistema no veu cap procés estrany en execució i, per tant, no llança cap alerta.
Segons l'anàlisi de Google en el seu informe, altres raons han fet que la família d'aplicacions malicioses Triada sigui tan sofisticada.
D'una banda, feia servir codificació XOR i arxius ZIP per xifrar les comunicacions. D'altra banda, ella va injectar codi en l'aplicació de la interfície d'usuari de sistema que permetia mostrar anuncis. La porta del darrere també li va injectar un codi que li va permetre usar l'aplicació Google Play per descarregar i instal·lar aplicacions de la seva elecció.