Google ieri (joi, 6 iunie) Raportez printr-o publicație din blogul său de securitate Google, care a detectat prezența unui backdoor preinstalat pe dispozitivele Android înainte de a părăsi fabricile.
Google a studiat situația după ce a fost dezvăluit de specialiștii în securitate informatică cu câțiva ani mai devreme. Acestea sunt aplicațiile rău intenționate ale «familiei Triad» conceput pentru a face spam și a face publicitate pe un dispozitiv Android.
Despre Triada
Potrivit Google, Triada a dezvoltat o metodă de instalare a programelor malware pe telefoanele Android practic din fabrică, chiar înainte ca clienții să înceapă sau chiar să instaleze o singură aplicație pe dispozitivele lor.
În martie 2016 a fost descris pentru prima dată Triada. într-o postare pe blog pe site-ul companiei de securitate a computerului Kaspersky Lab. O altă postare pe blog a fost dedicată companiei în iunie 2016.
În acel moment, era un troian înrădăcinat, necunoscut analiștilor de la compania de securitate care încearcă să exploateze dispozitivele Android după ce a primit privilegii ridicate.
După cum a explicat Kaspersky Lab pentru 2016, după ce Triada este instalat pe un dispozitiv, scopul său principal a fost instalarea de aplicații care ar putea fi utilizate pentru a trimite spam și a afișa reclame.
A folosit un set impresionant de instrumente, inclusiv vulnerabilități de înrădăcinare care ocolesc protecțiile de securitate încorporate ale Android și modalități de a modifica procesul Zygote al sistemului de operare Android.
Acestea sunt mărcile afectate
Aceste aplicații rău intenționate au fost găsite în 2017 preinstalate pe diferite dispozitive mobile Android, inclusiv smartphone-uri de la marca Leagoo (Modelele M5 plus și M8) și Nomu (Modelele S10 și S20).
Programele rău intenționate din această familie de aplicații atacă procesul de sistem numit Zygote (lansatorul procesului de aplicație terță parte). Prin injectarea lor în Zygote, aceste programe rău intenționate se pot infiltra în orice alt proces.
„Libandroid_runtime.so este utilizat de toate aplicațiile Android, astfel încât malware-ul se injectează în zona de memorie a tuturor aplicațiilor care rulează, deoarece funcția principală a acestui malware este descărcarea componentelor malware suplimentare. «
Deoarece a fost construit într-una din bibliotecile de sistem operațional și se află în secțiunea Sistem, care nu poate fi eliminat folosind metode standard, conform raportului. Atacatorii au reușit să folosească în liniște ușa din spate pentru a descărca și instala module false.
Conform raportului de pe Google Security Blog, prima acțiune a lui Triada a fost instalarea unui tip de superutilizator de fișiere binare (su).
Acest subrutină a permis altor aplicații de pe dispozitiv să folosească permisiunile root. Potrivit Google, binarul folosit de Triada necesita o parolă, ceea ce înseamnă că era unică în comparație cu binarele comune altor sisteme Linux. Aceasta a însemnat că malware-ul ar putea falsifica direct toate aplicațiile instalate.
Potrivit Kaspersky Lab, ei explică de ce este atât de greu de detectat Triada. Primul, modifică procesul Zygote. Zigot Este procesul de bază al sistemului de operare Android care este folosit ca șablon pentru fiecare aplicație, ceea ce înseamnă că odată ce troianul intră în proces, acesta devine parte a fiecărei aplicații care pornește de pe dispozitiv.
În al doilea rând, acesta înlocuiește funcțiile sistemului și își ascunde modulele din lista proceselor care rulează și a aplicațiilor instalate. Prin urmare, sistemul nu vede rularea unor procese ciudate și, prin urmare, nu lansează nicio alertă.
Conform analizei Google din raportul lor, alte motive au făcut familia Triada de aplicații rău intenționate atât de sofisticată.
Pe de o parte, a folosit codificare XOR și fișiere ZIP pentru a cripta comunicațiile. Pe de altă parte, a injectat cod în aplicația de interfață cu utilizatorul a sistemului, care a permis afișarea de reclame. De asemenea, ușa din spate i-a injectat un cod care i-a permis să folosească aplicația Google Play pentru a descărca și instala aplicații la alegere.