Google včera (čtvrtek 6. června) Hlásím prostřednictvím publikace z jeho blogu zabezpečení Google, který před opuštěním továren zjistil přítomnost předinstalovaného backdooru na zařízeních Android.
Google studoval situaci poté, co to před několika lety odhalili specialisté na počítačovou bezpečnost. Toto jsou škodlivé aplikace «rodiny triád» navrženo tak, aby spamovalo a inzerovalo na zařízení Android.
O Triadě
Podle Google Společnost Triada vyvinula metodu instalace malwaru na telefony Android prakticky v továrně, ještě předtím, než zákazníci spustili nebo dokonce nainstalovali jednu aplikaci na svá zařízení.
Bylo to v březnu 2016, kdy byla poprvé popsána Triada. v blogovém příspěvku na webu společnosti zabývající se počítačovou bezpečností Kaspersky Lab. Další blogový příspěvek byl věnován společností v červnu 2016.
V té době, byl to hluboce zakořeněný trojský kůň, který analytici neznali od bezpečnostní společnosti, která se pokouší zneužít zařízení Android po obdržení zvýšených oprávnění.
Jak vysvětluje společnost Kaspersky Lab pro rok 2016, jakmile je Triada nainstalována na zařízení, jeho hlavním účelem bylo instalovat aplikace, které by mohly být použity k zasílání spamu a zobrazování reklam.
Využila působivou sadu nástrojů, včetně zakořenění zranitelností, které obcházejí vestavěné bezpečnostní ochrany systému Android, a způsobů vylepšení procesu Zygote v systému Android.
Jedná se o ovlivněné značky
Tyto škodlivé aplikace byly v roce 2017 nalezeny předinstalované na různých mobilních zařízeních Android, včetně smartphonů od značka Leagoo (Modely M5 plus a M8) a Nomu (Modely S10 a S20).
Škodlivé programy v této rodině aplikací útočí na systémový proces zvaný Zygote (spouštěč aplikací třetích stran). Injekcí do Zygote mohou tyto škodlivé programy proniknout do jakéhokoli jiného procesu.
„Libandroid_runtime.so je používán všemi aplikacemi pro Android, takže malware se vstřikuje do oblasti paměti všech spuštěných aplikací, protože hlavní funkcí tohoto malwaru je stahování dalších škodlivých komponent. «
Protože byl postaven v jedné ze systémových knihoven funkční a nachází se v části Systém, která nelze odstranit standardními metodami, podle zprávy. Útočníci mohli tiše použít zadní vrátka ke stažení a instalaci nepoctivých modulů.
Podle zprávy na blogu zabezpečení Google bylo první akcí společnosti Triada instalace superuživatelského typu binárních souborů (su).
Tento podprogram umožnil jiným aplikacím v zařízení používat oprávnění root. Podle Googlu vyžadoval binární soubor používaný Triadou heslo, což znamená, že bylo jedinečné ve srovnání s binárními soubory běžnými v jiných systémech Linux. To znamenalo, že malware mohl přímo pokazit všechny nainstalované aplikace.
Podle společnosti Kaspersky Lab to vysvětlují proč je tak obtížné Triadu odhalit. První, upravuje proces Zygote. Zygota Jedná se o základní proces operačního systému Android, který se používá jako šablona pro každou aplikaci, což znamená, že jakmile Trojan vstoupí do procesu, stane se součástí každé aplikace který začíná na zařízení.
Za druhé, přepíše systémové funkce a skryje své moduly ze seznamu spuštěných procesů a nainstalovaných aplikací. Proto systém nevidí žádné podivné procesy spuštěné, a proto nevyvolává žádné výstrahy.
Podle analýzy společnosti Google v jejich zprávě způsobily rodiny Triada škodlivých aplikací tak sofistikované další důvody.
Na jedné straně k šifrování komunikace používalo kódování XOR a soubory ZIP. Na druhou stranu vložila kód do aplikace uživatelského rozhraní systému, která umožňovala zobrazovat reklamy. Backdoor do něj také vložil kód, který mu umožňoval pomocí aplikace Google Play stahovat a instalovat aplikace podle svého výběru.