Google काल (गुरुवार, June जून) मी एका प्रकाशनातून रिपोर्ट करतो त्याच्या Google सुरक्षा ब्लॉग कडून, ज्यास फॅक्टरी सोडण्यापूर्वी Android डिव्हाइसवर पूर्व-स्थापित बॅकडोरची उपस्थिती सापडली आहे.
गुगलने परिस्थितीचा अभ्यास केला आहे संगणक सुरक्षा तज्ञांनी काही वर्षांपूर्वी हे उघड केल्यानंतर. हे «ट्रायड कुटुंब» चे दुर्भावनायुक्त अनुप्रयोग आहेत Android डिव्हाइसवर स्पॅम आणि जाहिरात करण्यासाठी डिझाइन केलेले.
त्रिवडा बद्दल
गूगलच्या मते, ट्रायडाने अँड्रॉइड फोनवर मालवेयर स्थापित करण्यासाठी एक पद्धत विकसित केली आहे फॅक्टरीमध्ये, ग्राहकांनी त्यांच्या डिव्हाइसवर एकच अनुप्रयोग सुरू करण्यापूर्वी किंवा स्थापित करण्यापूर्वीच.
मार्च २०१ in मध्ये त्रयदाचे प्रथम वर्णन केले होते. संगणक सुरक्षा कंपनी कॅस्परस्की लॅबच्या वेबसाइटवर ब्लॉग पोस्टमध्ये. जून २०१ Another मध्ये कंपनीने आणखी एक ब्लॉग पोस्ट समर्पित केले.
त्या वेळी, हे विश्लेषकांना अज्ञात असे खोलवर रुजलेले ट्रोजन होते एलिव्हेटेड विशेषाधिकार प्राप्त झाल्यानंतर Android डिव्हाइसचे शोषण करण्याचा प्रयत्न करणार्या सुरक्षा कंपनीकडून.
२०१ for साठी कॅस्परस्की लॅबने स्पष्ट केल्याप्रमाणे, एकदा डिव्हाइसवर ट्रायडा स्थापित झाल्यानंतर, त्याचा मुख्य उद्देश स्पॅम आणि प्रदर्शन जाहिराती पाठविण्यासाठी वापरल्या जाणार्या अनुप्रयोग स्थापित करणे हे होते.
यात अँड्रॉइडची अंगभूत सुरक्षा संरक्षणे व Android OS च्या झ्यगोट प्रक्रियेस चिमटा लावण्याचे मार्ग समाविष्ट करणार्या असुरक्षा मूळ करणार्या साधनांचा प्रभावी सेट वापरला.
हे प्रभावित ब्रांड आहेत
हे दुर्भावनापूर्ण अॅप्स २०१ smart मध्ये मधील स्मार्टफोनसह विविध Android मोबाइल डिव्हाइसवर पूर्व-स्थापित आढळले लीगू ब्रँड (एम 5 प्लस आणि एम 8 मॉडेल) आणि नोमु (एस 10 आणि एस 20 मॉडेल्स).
अनुप्रयोगांच्या या कुटुंबातील दुर्भावनापूर्ण प्रोग्राम झयगोट नावाच्या सिस्टम प्रक्रियेवर आक्रमण करतात (तृतीय-पक्ष अनुप्रयोग प्रक्रिया लाँचर). झिगोटमध्ये स्वत: ला इंजेक्शन देऊन, हे दुर्भावनापूर्ण प्रोग्राम इतर कोणत्याही प्रक्रियेत घुसखोरी करू शकतात.
"लिबॅन्ड्रोइड_ट्रॉनटाइम.एसओ हा सर्व अँड्रॉइड byप्लिकेशन्सद्वारे वापरला जातो, म्हणून मालवेयर सर्व चालू असलेल्या ofप्लिकेशन्सच्या मेमरी क्षेत्रात स्वतःस इंजेक्ट करते कारण या मालवेयरचे मुख्य कार्य अतिरिक्त दुर्भावनायुक्त घटक डाउनलोड करणे होय. «
कारण ते एका सिस्टम लायब्ररीत बांधले गेले होते कार्यरत आणि सिस्टम विभागात स्थित आहे, जे प्रमाणित पद्धती वापरुन काढले जाऊ शकत नाही, अहवालानुसार हल्ले करणारे मॉड्यूल्स डाउनलोड आणि स्थापित करण्यासाठी हल्लेखोर शांतपणे मागील दरवाजाचा वापर करण्यास सक्षम आहेत.
गूगल सिक्युरिटी ब्लॉगवरील अहवालानुसार, ट्रायडाची पहिली क्रिया सुपरयुझर प्रकारच्या बायनरी फाइल्स (एसयू) स्थापित करणे होती.
या सबरुटाईनने डिव्हाइसवरील इतर अनुप्रयोगांना रूट परवानग्या वापरण्याची परवानगी दिली. गूगलच्या मते, ट्रायडाद्वारे वापरल्या जाणार्या बायनरीला संकेतशब्द आवश्यक होता, म्हणजे तो इतर लिनक्स सिस्टममध्ये असलेल्या बायनरींच्या तुलनेत अद्वितीय होता. याचा अर्थ असा आहे की मालवेयर सर्व स्थापित अनुप्रयोगांना थेट फसवू शकतो.
कॅस्परस्की लॅबच्या मते ते स्पष्ट करतात ट्रायडा ओळखणे इतके कठीण का आहे. पहिला, झयगोटे प्रक्रिया सुधारित करते. झयगोट ही Android ऑपरेटिंग सिस्टमची मूलभूत प्रक्रिया आहे जी प्रत्येक अनुप्रयोगासाठी टेम्पलेट म्हणून वापरली जाते, याचा अर्थ असा की एकदा ट्रोजन प्रक्रियेमध्ये प्रवेश केल्यानंतर ते प्रत्येक अनुप्रयोगाचा एक भाग बनतो जे डिव्हाइसवर प्रारंभ होते.
दुसरे म्हणजे, ते सिस्टम कार्ये अधिलिखित करते आणि कार्यरत कार्यपद्धती आणि स्थापित अनुप्रयोगांच्या सूचीमधून त्याचे मॉड्यूल्स लपवते. म्हणून, सिस्टममध्ये कोणतीही विचित्र प्रक्रिया चालत नाही आणि म्हणून कोणतेही सतर्कता दर्शवित नाही.
त्यांच्या अहवालातील गुगलच्या विश्लेषणानुसार अन्य कारणांमुळे त्रयदा कुटुंबातील दुर्भावनायुक्त अॅप्स इतके परिष्कृत झाले आहेत.
एकीकडे, संप्रेषणे कूटबद्ध करण्यासाठी XOR एन्कोडिंग आणि झिप फायली वापरल्या. दुसरीकडे, तिने सिस्टमच्या वापरकर्त्या इंटरफेस अनुप्रयोगात कोड इंजेक्शन केला ज्याने जाहिराती प्रदर्शित करण्यास परवानगी दिली. बॅकडोरने त्याच्यामध्ये कोड देखील घातला ज्याने त्याला आपल्या पसंतीच्या अॅप्स डाउनलोड आणि स्थापित करण्यासाठी Google Play अॅप वापरण्याची अनुमती दिली.