Google eilen (torstaina 6. kesäkuuta) Raportoin julkaisun kautta hänen Google-turvallisuusblogistaan, joka on havainnut esiasennetun takaoven läsnäolon Android-laitteissa ennen poistumista tehtailta.
Google on tutkinut tilannetta sen jälkeen, kun tietoturva-asiantuntijat paljastivat sen muutama vuosi aiemmin. Nämä ovat «Triad-perheen» haittaohjelmia suunniteltu roskapostiksi ja mainostamiseksi Android-laitteella.
Tietoja Triadasta
Googlen mukaan Triada on kehittänyt menetelmän haittaohjelmien asentamiseksi Android-puhelimiin käytännössä tehtaalla, jo ennen kuin asiakkaat aloittivat tai jopa asensivat yhden sovelluksen laitteisiinsa.
Triada kuvattiin ensimmäisen kerran maaliskuussa 2016. blogitekstissä tietoturvayrityksen Kaspersky Lab verkkosivustolla.Yhtiön omistama toinen blogiviesti kesäkuussa 2016.
Tuolloin oli syvälle juurtunut troijalainen, jota analyytikot eivät tunteneet turvallisuusyhtiöltä, joka yrittää hyödyntää Android-laitteita saatuaan korkeammat oikeudet.
Kuten Kaspersky Lab selitti vuodelle 2016, kun Triada on asennettu laitteeseen, sen päätarkoitus oli asentaa sovelluksia, joita voidaan käyttää roskapostin lähettämiseen ja mainosten näyttämiseen.
Se käytti vaikuttavaa joukkoa työkaluja, mukaan lukien sellaisten haavoittuvuuksien juurtuminen, jotka ohittavat Androidin sisäisen suojauksen, ja tapoja säätää Android-käyttöjärjestelmän Zygote-prosessia.
Nämä ovat kyseisiä tuotemerkkejä
Nämä haitalliset sovellukset löydettiin vuonna 2017 esiasennettuna useisiin Android-mobiililaitteisiin, mukaan lukien älypuhelimet Leagoo-tuotemerkki (M5 plus- ja M8-mallit) ja Nomu (Mallit S10 ja S20).
Tämän sovellusperheen haittaohjelmat hyökkäävät Zygote-nimiseen järjestelmäprosessiin (kolmannen osapuolen sovellusprosessin käynnistysohjelma). Injisoimalla itsensä Zygoteen nämä haitalliset ohjelmat voivat tunkeutua mihin tahansa muuhun prosessiin.
"Kaikki Android-sovellukset käyttävät Libandroid_runtime.so-tiedostoa, joten haittaohjelma pistää itsensä kaikkien käynnissä olevien sovellusten muistialueelle, koska tämän haittaohjelman päätehtävänä on ladata muita haitallisia komponentteja. «
Koska se rakennettiin yhteen järjestelmäkirjastoista toimintakykyinen ja sijaitsee Järjestelmä-osassa, joka ei voida poistaa vakiomenetelmillä, raportin mukaan. Hyökkääjät ovat pystyneet käyttämään takaovea hiljaa lataamaan ja asentamaan roistovaltioita.
Google-tietoturvablogin raportin mukaan Triadan ensimmäinen toimenpide oli asentaa pääkäyttäjätyyppiset binaaritiedostot (su).
Tämä aliohjelma antoi laitteen muille sovelluksille mahdollisuuden käyttää juurioikeuksia. Googlen mukaan Triadan käyttämä binääri vaati salasanan, mikä tarkoittaa, että se oli ainutlaatuinen verrattuna muihin Linux-järjestelmiin yleisiin binääreihin. Tämä tarkoitti sitä, että haittaohjelma pystyi suoraan huijaamaan kaikkia asennettuja sovelluksia.
Kaspersky Labin mukaan he selittävät miksi Triada on niin vaikea havaita. Ensimmäinen, muokkaa Zygote-prosessia. Tsygootti Se on Android-käyttöjärjestelmän perusprosessi, jota käytetään mallina kullekin sovellukselle, mikä tarkoittaa, että kun troijalainen siirtyy prosessiin, siitä tulee osa jokaista sovellusta joka alkaa laitteesta.
Toiseksi se ohittaa järjestelmän toiminnot ja piilottaa moduulit käynnissä olevien prosessien ja asennettujen sovellusten luettelosta. Siksi järjestelmä ei näe mitään outoja prosesseja käynnissä eikä siksi heitä hälytyksiä.
Googlen raportissaan tekemän analyysin mukaan muut syyt ovat tehneet Triada-haittaohjelmien perheestä niin hienostuneen.
Yhtäältä se käytti XOR-koodausta ja ZIP-tiedostoja viestinnän salaamiseen. Toisaalta hän pistää koodin järjestelmän käyttöliittymäsovellukseen, joka sallii mainosten näyttämisen. Takaovi injektoi häneen myös koodin, jonka avulla hän pystyi lataamaan ja asentamaan valitsemiaan sovelluksia Google Play -sovelluksella.