구글 어제 (6 월 XNUMX 일 목요일) 나는 출판물을 통해보고한다 그의 Google 보안 블로그에서 공장을 떠나기 전에 Android 기기에 사전 설치된 백도어의 존재를 감지했습니다.
Google은 상황을 연구했습니다 몇 년 전에 컴퓨터 보안 전문가가 공개 한 이후입니다. «Triad family»의 악성 애플리케이션입니다. Android 기기에서 스팸 및 광고하도록 설계되었습니다.
Triada 정보
Google에 따르면 Triada는 Android 휴대폰에 맬웨어를 설치하는 방법을 개발했습니다. 고객이 기기에 단일 앱을 시작하거나 설치하기 전부터 사실상 공장에서.
Triada가 처음 설명 된 것은 2016 년 XNUMX 월이었습니다. 컴퓨터 보안 회사 인 Kaspersky Lab 웹 사이트의 블로그 게시물에 있습니다. 또 다른 블로그 게시물은 2016 년 XNUMX 월에 회사에서 게시했습니다.
그 순간, 분석가에게 알려지지 않은 뿌리 깊은 트로이 목마 높은 권한을받은 후 Android 기기를 악용하려는 보안 회사에서
2016 년 Kaspersky Lab에서 설명했듯이 Triada가 장치에 설치되면 주요 목적은 스팸을 보내고 광고를 표시하는 데 사용할 수있는 응용 프로그램을 설치하는 것이 었습니다.
Android의 내장 보안 보호 기능을 우회하는 루팅 취약성과 Android OS의 Zygote 프로세스를 조정하는 방법을 포함하여 인상적인 도구 세트를 사용했습니다.
영향을받는 브랜드입니다.
이러한 악성 앱은 2017 년 스마트 폰을 포함한 다양한 Android 모바일 장치에 사전 설치된 것으로 확인되었습니다. Leagoo 브랜드 (M5 plus 및 M8 모델) 그리고 노무 (S10 및 S20 모델).
이 애플리케이션 제품군의 악성 프로그램은 Zygote라는 시스템 프로세스를 공격합니다. (타사 응용 프로그램 프로세스 시작 관리자). Zygote에 자신을 주입함으로써 이러한 악성 프로그램은 다른 프로세스에 침투 할 수 있습니다.
"Libandroid_runtime.so는 모든 Android 애플리케이션에서 사용되므로이 멀웨어의 주요 기능은 추가 악성 구성 요소를 다운로드하는 것이기 때문에 멀웨어는 실행중인 모든 애플리케이션의 메모리 영역에 자신을 주입합니다. «
시스템 라이브러리 중 하나에 구축 되었기 때문에 작동하며 시스템 섹션에 있습니다. 표준 방법으로는 제거 할 수 없습니다. 보고서에 따르면. 공격자는 백도어를 조용히 사용하여 악성 모듈을 다운로드하고 설치할 수있었습니다.
Google 보안 블로그의 보고서에 따르면 Triada의 첫 번째 조치는 수퍼 유저 유형의 바이너리 파일 (su)을 설치하는 것이 었습니다.
이 서브 루틴은 장치의 다른 응용 프로그램이 루트 권한을 사용하도록 허용했습니다. Google에 따르면 Triada에서 사용하는 바이너리에는 비밀번호가 필요했습니다. 즉, 다른 Linux 시스템에 일반적인 바이너리와 비교할 때 고유했습니다. 이는 악성 코드가 설치된 모든 애플리케이션을 직접 스푸핑 할 수 있음을 의미합니다.
Kaspersky Lab에 따르면 Triada가 감지하기 어려운 이유. 먼저, Zygote 프로세스를 수정합니다. 접합자 각 애플리케이션의 템플릿으로 사용되는 Android 운영 체제의 기본 프로세스이며, 즉, 트로이 목마가 프로세스에 들어가면 모든 응용 프로그램의 일부가됩니다. 장치에서 시작됩니다.
둘째, 시스템 기능을 무시하고 실행중인 프로세스 및 설치된 응용 프로그램 목록에서 해당 모듈을 숨 깁니다. 따라서 시스템은 이상한 프로세스가 실행되는 것을 보지 못하므로 경고를 발생시키지 않습니다.
Google의 보고서 분석에 따르면 Triada 악성 앱 제품군을 매우 정교하게 만든 다른 이유가 있습니다.
한편으로는 XOR 인코딩과 ZIP 파일을 사용하여 통신을 암호화했습니다. 반면에 그녀는 광고를 표시 할 수있는 시스템 UI 애플리케이션에 코드를 삽입했습니다. 백도어는 또한 그가 Google Play 앱을 사용하여 자신이 선택한 앱을 다운로드하고 설치할 수 있도록하는 코드를 그에게 주입했습니다.