"Google" vakar (birželio 6 d., ketvirtadienį) Pranešu per leidinį iš savo „Google“ saugumo tinklaraščio, kuris prieš išeidamas iš gamyklų nustatė, kad „Android“ įrenginiuose yra iš anksto įdiegtos užpakalinės durys.
„Google“ ištyrė situaciją po to, kai prieš kelerius metus tai atskleidė kompiuterių saugos specialistai. Tai yra kenkėjiškos «Triadų šeimos» programos skirta šlamšti ir reklamuoti „Android“ įrenginyje.
Apie „Triadą“
Pasak „Google“, „Triada“ sukūrė kenkėjiškų programų diegimo „Android“ telefonuose metodą praktiškai gamykloje, dar prieš klientams pradedant ar net neįdiegus vienos programos savo įrenginiuose.
Pirmą kartą „Triada“ buvo aprašyta 2016 m. Kovo mėn. tinklaraščio įraše kompiuterių saugos bendrovės „Kaspersky Lab“ svetainėje. Dar vieną tinklaraščio įrašą bendrovė paskyrė 2016 m. birželio mėn.
Tuo metu buvo giliai įsišaknijęs Trojanas, nežinomas analitikams iš saugos bendrovės, bandančios išnaudoti „Android“ įrenginius, gavusios padidintas privilegijas.
Kaip paaiškino „Kaspersky Lab“ 2016 m., kai įrenginyje bus įdiegta „Triada“, jo pagrindinis tikslas buvo įdiegti programas, kurias būtų galima naudoti šlamšto siuntimui ir skelbimų rodymui.
Jis naudojo įspūdingą įrankių rinkinį, įskaitant įsišaknijimus pažeidžiamumų, kurie apeina „Android“ integruotą saugos apsaugą, ir būdus, kaip patobulinti „Android“ OS „Zygote“ procesą.
Tai yra paveikti prekių ženklai
Šios kenkėjiškos programos buvo rastos 2017 m., Iš anksto įdiegtos įvairiuose „Android“ mobiliuosiuose įrenginiuose, įskaitant išmaniuosius telefonus iš „Leagoo“ prekės ženklą („M5 plus“ ir „M8“ modeliai) ir Nomu (S10 ir S20 modeliai).
Kenkėjiškos šios programų grupės atakuoja sistemos procesą, vadinamą „Zygote“ (trečiosios šalies programų paleidimo priemonė). Įsišvirkščiant į „Zygote“, šios kenkėjiškos programos gali įsiskverbti į bet kurį kitą procesą.
„Libandroid_runtime.so“ naudoja visos „Android“ programos, todėl kenkėjiška programa įsiskverbia į visų veikiančių programų atminties sritį, nes pagrindinė šios kenkėjiškos programos funkcija yra atsisiųsti papildomų kenkėjiškų komponentų. «
Nes jis buvo pastatytas vienoje iš sistemos bibliotekų veikia ir yra skyriuje Sistema, kuri negalima pašalinti naudojant standartinius metodus, pagal ataskaitą. Užpuolikai galėjo ramiai naudotis užpakalinėmis durimis atsisiųsti ir įdiegti nesąžiningus modulius.
Kaip rašoma „Google“ saugumo tinklaraščio ataskaitoje, pirmasis „Triada“ veiksmas buvo įdiegti superinaudotojo tipo dvejetainius failus (su).
Šis paprogramis leido kitoms įrenginio programoms naudoti root teises. Anot „Google“, „Triada“ naudojamam dvejetainiui failui reikėjo slaptažodžio, o tai reiškia, kad jis buvo unikalus, palyginti su kitose „Linux“ sistemose įprastais dvejetainiais failais. Tai reiškė, kad kenkėjiška programa gali tiesiogiai suklaidinti visas įdiegtas programas.
Pasak „Kaspersky Lab“, jie paaiškina kodėl „Triadą“ taip sunku aptikti. Pirmas, modifikuoja Zigotos procesą. Zigota Tai yra pagrindinis „Android“ operacinės sistemos procesas, kuris naudojamas kaip kiekvienos programos šablonas, o tai reiškia, kad kai Trojanas patenka į procesą, jis tampa kiekvienos programos dalimi kuris prasideda įrenginyje.
Antra, jis nepaiso sistemos funkcijų ir slepia savo modulius iš vykdomų procesų ir įdiegtų programų sąrašo. Todėl sistema nemato vykstančių keistų procesų ir todėl nemeta jokių įspėjimų.
Pagal „Google“ analizę jų ataskaitoje, dėl kitų priežasčių „Triada“ kenkėjiškų programų šeima tapo tokia sudėtinga.
Viena vertus, jis naudojo XOR kodavimą ir ZIP failus šifruoti ryšius. Kita vertus, ji įvedė kodą į sistemos vartotojo sąsajos programą, kuri leido rodyti skelbimus. Užpakalinės durys taip pat jam įvedė kodą, kuris leido naudoti „Google Play“ programą atsisiųsti ir įdiegti pasirinktas programas.