गूगल कल (गुरुवार, 6 जून) मैं एक प्रकाशन के माध्यम से रिपोर्ट करता हूं अपने Google सुरक्षा ब्लॉग से, जिसने कारखानों को छोड़ने से पहले Android उपकरणों पर पहले से स्थापित पिछले दरवाजे की उपस्थिति का पता लगाया है।
Google ने स्थिति का अध्ययन किया है कुछ साल पहले कंप्यूटर सुरक्षा विशेषज्ञों द्वारा इसका खुलासा होने के बाद। ये «त्रय परिवार» के दुर्भावनापूर्ण अनुप्रयोग हैं Android डिवाइस पर स्पैम और विज्ञापन के लिए डिज़ाइन किया गया।
त्रिधा के बारे में
Google के अनुसार, Triada ने एंड्रॉइड फोन पर मैलवेयर इंस्टॉल करने के लिए एक विधि विकसित की है वस्तुतः कारखाने में, यहां तक कि ग्राहकों के शुरू होने से पहले या यहां तक कि अपने उपकरणों पर एक भी ऐप स्थापित किया।
मार्च 2016 में त्रिधा का वर्णन किया गया था। कंप्यूटर सुरक्षा कंपनी Kaspersky Lab की वेबसाइट पर एक ब्लॉग पोस्ट में। एक अन्य ब्लॉग पोस्ट कंपनी द्वारा जून 2016 में समर्पित किया गया था।
उस समय, विश्लेषकों के लिए एक गहरी जड़ें वाला ट्रोजन था एलिवेटेड प्रिविलेज प्राप्त करने के बाद एंड्रॉइड डिवाइस का फायदा उठाने का प्रयास करने वाली सुरक्षा कंपनी से।
जैसा कि 2016 के लिए Kaspersky Lab द्वारा समझाया गया है, एक बार ट्रायडा डिवाइस पर स्थापित हो जाने के बाद, इसका मुख्य उद्देश्य ऐसे एप्लिकेशन इंस्टॉल करना था जिनका उपयोग स्पैम भेजने और विज्ञापन प्रदर्शित करने के लिए किया जा सकता है।
इसमें उपकरणों की एक प्रभावशाली सेट का उपयोग किया गया था, जिसमें एंड्रॉइड के अंतर्निहित सुरक्षा सुरक्षा को दरकिनार करने और एंड्रॉइड ओएस की ज़ीगोट प्रक्रिया को ट्विक करने के तरीकों को दरकिनार करना शामिल था।
ये प्रभावित ब्रांड हैं
ये दुर्भावनापूर्ण एप्लिकेशन 2017 में विभिन्न एंड्रॉइड मोबाइल उपकरणों पर प्री-इंस्टॉल किए गए थे, जिनमें से स्मार्टफोन भी शामिल थे लीगो ब्रांड (M5 प्लस और M8 मॉडल) और नोमू (S10 और S20 मॉडल)।
अनुप्रयोगों के इस परिवार में दुर्भावनापूर्ण प्रोग्राम सिस्टम को ज़ीगोटे कहते हैं (थर्ड-पार्टी एप्लिकेशन प्रोसेस लॉन्चर)। ज़ायगोट में खुद को इंजेक्ट करके, ये दुर्भावनापूर्ण प्रोग्राम किसी अन्य प्रक्रिया में घुसपैठ कर सकते हैं।
"Libandroid_runtime.so सभी एंड्रॉइड एप्लिकेशन द्वारा उपयोग किया जाता है, इसलिए मैलवेयर खुद को सभी रनिंग एप्लिकेशन के मेमोरी क्षेत्र में इंजेक्ट करता है क्योंकि इस मैलवेयर का मुख्य कार्य अतिरिक्त दुर्भावनापूर्ण घटकों को डाउनलोड करना है। «
क्योंकि यह सिस्टम लाइब्रेरी में से एक में बनाया गया था परिचालन और सिस्टम अनुभाग में स्थित है, जो मानक विधियों का उपयोग करके हटाया नहीं जा सकता, रिपोर्ट के अनुसार। हमलावर चुपचाप मॉड्यूल डाउनलोड करने और स्थापित करने के लिए पिछले दरवाजे का उपयोग करने में सक्षम हैं।
Google सुरक्षा ब्लॉग पर रिपोर्ट के अनुसार, ट्रायडा की पहली कार्रवाई सुपरसियर प्रकार की बाइनरी फाइलें (सु) स्थापित करना था।
इस सबरूटीन ने डिवाइस पर रूट अनुमतियों का उपयोग करने के लिए अन्य अनुप्रयोगों की अनुमति दी। Google के अनुसार, ट्रायडा द्वारा उपयोग किए जाने वाले द्विआधारी को एक पासवर्ड की आवश्यकता थी, जिसका अर्थ है कि यह अन्य लिनक्स सिस्टमों के लिए बायनेरिज़ की तुलना में अद्वितीय था। इसका मतलब यह था कि मैलवेयर सीधे सभी इंस्टॉल किए गए एप्लिकेशन को खराब कर सकता है।
कास्परस्की लैब के अनुसार, वे समझाते हैं त्रय का पता लगाना इतना मुश्किल क्यों है। प्रथम, युग्मनज प्रक्रिया को संशोधित करता है। युग्मनज यह एंड्रॉइड ऑपरेटिंग सिस्टम की मूल प्रक्रिया है जिसका उपयोग प्रत्येक एप्लिकेशन के लिए टेम्पलेट के रूप में किया जाता है, जिसका अर्थ है कि ट्रोजन प्रक्रिया में प्रवेश करने के बाद, यह हर अनुप्रयोग का हिस्सा बन जाता है जो डिवाइस पर शुरू होता है।
दूसरा, यह सिस्टम फ़ंक्शंस को ओवरराइड करता है और अपने मॉड्यूल को रनिंग प्रक्रियाओं और इंस्टॉल किए गए एप्लिकेशन की सूची से छिपाता है। इसलिए, सिस्टम किसी भी अजीब प्रक्रिया को नहीं देखता है और इसलिए कोई अलर्ट नहीं फेंकता है।
उनकी रिपोर्ट में Google के विश्लेषण के अनुसार, अन्य कारणों ने त्रिदोष परिवार के दुर्भावनापूर्ण ऐप्स को इतना परिष्कृत बना दिया है।
एक ओर, यह संचार को एन्क्रिप्ट करने के लिए XOR एन्कोडिंग और ज़िप फ़ाइलों का उपयोग करता था। दूसरी ओर, उसने सिस्टम के उपयोगकर्ता इंटरफ़ेस एप्लिकेशन में कोड इंजेक्ट किया जो विज्ञापन प्रदर्शित करने की अनुमति देता है। पिछले दरवाजे ने भी उस पर कोड इंजेक्ट किया जिससे उसे अपनी पसंद के ऐप डाउनलोड करने और इंस्टॉल करने के लिए Google Play ऐप का उपयोग करने की अनुमति मिली।