Google ontem (quinta-feira, 6 de junho) Eu relato por meio de uma publicação de seu blog de segurança do Google, que detectou a presença de um backdoor pré-instalado em dispositivos Android antes de deixar as fábricas.
O Google estudou a situação depois que foi revelado por especialistas em segurança de computador alguns anos antes. Estas são as aplicações maliciosas da «família Triad» projetado para enviar spam e anunciar em um dispositivo Android.
Sobre a Triada
De acordo com o Google, Triada desenvolveu um método para instalar malware em telefones Android praticamente na fábrica, antes mesmo de os clientes iniciarem ou até mesmo instalarem um único aplicativo em seus dispositivos.
Foi em março de 2016 que Triada foi descrito pela primeira vez. em uma postagem de blog no site da empresa de segurança de computador Kaspersky Lab. Outra postagem de blog foi dedicada pela empresa em junho de 2016.
Nesse momento, era um Trojan enraizado desconhecido para analistas da empresa de segurança que tenta explorar dispositivos Android após receber privilégios elevados.
Conforme explicado pela Kaspersky Lab para 2016, uma vez que o Triada é instalado em um dispositivo, seu principal objetivo era instalar aplicativos que pudessem ser usados para enviar spam e exibir anúncios.
Ele usou um conjunto impressionante de ferramentas, incluindo vulnerabilidades de enraizamento que contornam as proteções de segurança integradas do Android e maneiras de ajustar o processo Zygote do sistema operacional Android.
Estas são as marcas afetadas
Esses aplicativos maliciosos foram encontrados em 2017 pré-instalados em vários dispositivos móveis Android, incluindo smartphones da a marca Leagoo (Modelos M5 plus e M8) e Nomu (Modelos S10 e S20).
Os programas maliciosos nesta família de aplicativos atacam o processo do sistema chamado Zygote (o iniciador do processo de aplicativo de terceiros). Ao se injetar no Zygote, esses programas maliciosos podem se infiltrar em qualquer outro processo.
«Libandroid_runtime.so é usado por todos os aplicativos Android, então o malware se injeta na área da memória de todos os aplicativos em execução, uma vez que a principal função desse malware é baixar componentes maliciosos adicionais. «
Porque foi construído em uma das bibliotecas do sistema operacional e está localizado na seção Sistema, que não pode ser removido usando métodos padrão, De acordo com o relatório. Os invasores podem usar silenciosamente a porta dos fundos para baixar e instalar módulos invasores.
De acordo com o relatório do Google Security Blog, a primeira ação da Triada foi instalar um tipo de superusuário de arquivos binários (su).
Esta sub-rotina permitiu que outros aplicativos no dispositivo usassem permissões de root. De acordo com o Google, o binário usado pela Triada exigia uma senha, o que significa que era único em comparação com binários comuns a outros sistemas Linux. Isso significa que o malware pode falsificar diretamente todos os aplicativos instalados.
De acordo com a Kaspersky Lab, eles explicam por que Triada é tão difícil de detectar. Em primeiro lugar, modifica o processo Zygote. Zigoto É o processo básico do sistema operacional Android usado como modelo para cada aplicativo, o que significa que uma vez que o cavalo de Tróia entra no processo, ele se torna parte de cada aplicativo que começa no dispositivo.
Em segundo lugar, ele substitui as funções do sistema e oculta seus módulos da lista de processos em execução e aplicativos instalados. Portanto, o sistema não vê nenhum processo estranho em execução e, portanto, não emite nenhum alerta.
De acordo com a análise do Google em seu relatório, outros motivos tornaram a família Triada de aplicativos maliciosos tão sofisticada.
Por um lado, ele usou a codificação XOR e arquivos ZIP para criptografar as comunicações. Por outro lado, ela injetou código no aplicativo de interface do usuário do sistema que permitia a exibição de anúncios. O backdoor também injetou código nele que lhe permitiu usar o aplicativo Google Play para baixar e instalar aplicativos de sua escolha.