Google wczoraj (czwartek, 6 czerwca) Zgłaszam się poprzez publikację ze swojego bloga Google na temat bezpieczeństwa, który wykrył obecność wstępnie zainstalowanego backdoora na urządzeniach z Androidem przed opuszczeniem fabryk.
Google zbadał sytuację po ujawnieniu go przez specjalistów ds. bezpieczeństwa komputerowego kilka lat wcześniej. To są złośliwe aplikacje z „rodziny Triad” zaprojektowane do spamowania i reklamowania się na urządzeniu z Androidem.
O Triada
Według Google Triada opracowała metodę instalowania złośliwego oprogramowania na telefonach z systemem Android praktycznie w fabryce, jeszcze zanim klienci zaczęli lub nawet zainstalowali jedną aplikację na swoich urządzeniach.
W marcu 2016 roku po raz pierwszy opisano Triadę. we wpisie na blogu na stronie firmy zajmującej się bezpieczeństwem komputerowym Kaspersky Lab Kolejny wpis został zadedykowany przez firmę w czerwcu 2016 roku.
W tym momencie, był to głęboko zakorzeniony trojan nieznany analitykom od firmy ochroniarskiej próbującej wykorzystać urządzenia z Androidem po otrzymaniu podwyższonych uprawnień.
Jak wyjaśnił Kaspersky Lab na rok 2016, po zainstalowaniu Triady na urządzeniu, jego głównym celem było instalowanie aplikacji, które mogłyby służyć do wysyłania spamu i wyświetlania reklam.
Wykorzystał imponujący zestaw narzędzi, w tym luki w zabezpieczeniach rootowania, które omijają wbudowane zabezpieczenia systemu Android, oraz sposoby modyfikowania procesu Zygote w systemie operacyjnym Android.
To są marki, których dotyczy problem
Te złośliwe aplikacje zostały znalezione w 2017 roku jako preinstalowane na różnych urządzeniach mobilnych z Androidem, w tym na smartfonach marka Leagoo (Modele M5 plus i M8) i Nomu (Modele S10 i S20).
Szkodliwe programy z tej rodziny aplikacji atakują proces systemowy o nazwie Zygote (program uruchamiający proces aplikacji innej firmy). Wstrzykując się do Zygote, te złośliwe programy mogą przeniknąć do każdego innego procesu.
„Libandroid_runtime.so jest używany przez wszystkie aplikacje na Androida, więc złośliwe oprogramowanie wstrzykuje się do obszaru pamięci wszystkich uruchomionych aplikacji, ponieważ główną funkcją tego złośliwego oprogramowania jest pobieranie dodatkowych złośliwych komponentów. «
Ponieważ został zbudowany w jednej z bibliotek systemowych działa i znajduje się w sekcji System, która nie da się usunąć standardowymi metodami, Według raportu. Atakujący mogli po cichu używać tylnych drzwi do pobierania i instalowania fałszywych modułów.
Według raportu na blogu Google Security, pierwszą czynnością Triady było zainstalowanie plików binarnych typu superużytkownika (su).
Ta podprocedura umożliwiła innym aplikacjom na urządzeniu korzystanie z uprawnień roota. Według Google plik binarny używany przez Triadę wymagał hasła, co oznacza, że był unikalny w porównaniu z plikami binarnymi powszechnymi w innych systemach Linux. Oznaczało to, że złośliwe oprogramowanie mogło bezpośrednio sfałszować wszystkie zainstalowane aplikacje.
Według Kaspersky Lab wyjaśniają dlaczego Triada jest tak trudna do wykrycia. Pierwszy, modyfikuje proces Zygote. Zygota Jest to podstawowy proces systemu operacyjnego Android, który jest używany jako szablon dla każdej aplikacji, co oznacza, że po wejściu trojana do procesu staje się częścią każdej aplikacji który zaczyna się na urządzeniu.
Po drugie, zastępuje funkcje systemowe i ukrywa swoje moduły na liście uruchomionych procesów i zainstalowanych aplikacji. Dlatego system nie widzi uruchomionych żadnych dziwnych procesów i dlatego nie generuje żadnych alertów.
Według analizy Google zawartej w raporcie, inne powody sprawiły, że rodzina złośliwych aplikacji Triada jest tak wyrafinowana.
Z jednej strony wykorzystywał kodowanie XOR i pliki ZIP do szyfrowania komunikacji. Z drugiej strony wstrzyknęła kod do aplikacji interfejsu użytkownika systemu, która umożliwiała wyświetlanie reklam. Backdoor również wstrzyknął mu kod, który pozwolił mu używać aplikacji Google Play do pobierania i instalowania wybranych przez siebie aplikacji.