Google hier (jeudi 6 juin) Je rapporte à travers une publication à partir de son blog sur la sécurité Google, qui a détecté la présence d'une porte dérobée préinstallée sur les appareils Android avant de quitter les usines.
Google a étudié la situation après qu'il a été révélé par des spécialistes de la sécurité informatique quelques années plus tôt. Ce sont les applications malveillantes de la «famille Triad» conçu pour spammer et faire de la publicité sur un appareil Android.
À propos de Triada
Selon Google, Triada a développé une méthode pour installer des logiciels malveillants sur les téléphones Android pratiquement à l'usine, avant même que les clients ne lancent ou n'installent une seule application sur leurs appareils.
C'est en mars 2016 que Triada a été décrite pour la première fois. dans un article de blog sur le site Web de la société de sécurité informatique Kaspersky Lab. Un autre article de blog a été consacré par la société en juin 2016.
A ce moment, était un cheval de Troie profondément enraciné inconnu des analystes de la société de sécurité qui tente d'exploiter les appareils Android après avoir reçu des privilèges élevés.
Comme expliqué par Kaspersky Lab pour 2016, une fois Triada installé sur un appareil, son objectif principal était d'installer des applications pouvant être utilisées pour envoyer du spam et afficher des publicités.
Il a utilisé un ensemble impressionnant d'outils, y compris des vulnérabilités d'enracinement qui contournent les protections de sécurité intégrées d'Android, et des moyens de modifier le processus Zygote du système d'exploitation Android.
Ce sont les marques concernées
Ces applications malveillantes ont été trouvées en 2017 préinstallées sur divers appareils mobiles Android, y compris les smartphones de la marque Leagoo (Modèles M5 plus et M8) et Nomu (Modèles S10 et S20).
Les programmes malveillants de cette famille d'applications attaquent le processus système appelé Zygote (le lanceur de processus d'application tiers). En s'injectant dans Zygote, ces programmes malveillants peuvent s'infiltrer dans n'importe quel autre processus.
"Libandroid_runtime.so est utilisé par toutes les applications Android, de sorte que le malware s'injecte dans la zone mémoire de toutes les applications en cours d'exécution car la fonction principale de ce malware est de télécharger des composants malveillants supplémentaires. «
Parce qu'il a été construit dans l'une des bibliothèques système opérationnel et se trouve dans la section Système, qui ne peut pas être supprimé à l'aide des méthodes standard, selon le rapport. Les attaquants ont pu utiliser discrètement la porte dérobée pour télécharger et installer des modules malveillants.
Selon le rapport sur le blog de sécurité Google, la première action de Triada a été d'installer un type de fichiers binaires de type superutilisateur (su).
Ce sous-programme permettait à d'autres applications de l'appareil d'utiliser les autorisations root. Selon Google, le binaire utilisé par Triada nécessitait un mot de passe, ce qui signifie qu'il était unique par rapport aux binaires communs à d'autres systèmes Linux. Cela signifiait que le malware pouvait directement usurper toutes les applications installées.
Selon Kaspersky Lab, ils expliquent pourquoi Triada est si difficile à détecter. En premier lieu, modifie le processus Zygote. Zygote C'est le processus de base du système d'exploitation Android qui est utilisé comme modèle pour chaque application, ce qui signifie qu'une fois que le cheval de Troie entre dans le processus, il devient partie intégrante de chaque application qui démarre sur l'appareil.
Deuxièmement, il remplace les fonctions du système et masque ses modules de la liste des processus en cours d'exécution et des applications installées. Par conséquent, le système ne voit aucun processus étrange en cours d'exécution et ne lance donc aucune alerte.
Selon l'analyse de Google dans leur rapport, d'autres raisons ont rendu la famille d'applications malveillantes Triada si sophistiquée.
D'une part, il utilisait le codage XOR et les fichiers ZIP pour crypter les communications. D'autre part, elle a injecté du code dans l'application d'interface utilisateur du système qui permettait d'afficher des publicités. La porte dérobée lui a également injecté du code qui lui a permis d'utiliser l'application Google Play pour télécharger et installer les applications de son choix.