Google вчера (четверг, 6 июня) Я сообщаю через публикацию из его блога о безопасности Google, который обнаружил наличие предустановленного бэкдора на устройствах Android перед тем, как покинуть фабрики.
Google изучил ситуацию после того, как несколькими годами ранее он был обнаружен специалистами по компьютерной безопасности. Это вредоносные программы семейства «Триада». предназначен для рассылки спама и рекламы на устройствах Android.
О триаде
Согласно Google, Triada разработала метод установки вредоносного ПО на телефоны Android практически на заводе, даже до того, как клиенты запустили или даже установили одно приложение на свои устройства.
Впервые Триада была описана в марте 2016 года. в сообщении в блоге на сайте компании, занимающейся компьютерной безопасностью «Лаборатория Касперского». Еще один пост был посвящен компанией в июне 2016 года.
В тот момент это был глубоко укоренившийся троян, неизвестный аналитикам от охранной компании, пытающейся использовать устройства Android после получения повышенных привилегий.
Как пояснили в «Лаборатории Касперского» на 2016 год, после установки Triada на устройство, его основная цель заключалась в установке приложений, которые можно было использовать для рассылки спама и отображения рекламы.
Он использовал впечатляющий набор инструментов, в том числе рутирование уязвимостей, которые обходят встроенные средства защиты Android, и способы настройки процесса Zygote в ОС Android.
Это затронутые бренды
Эти вредоносные приложения были обнаружены в 2017 году предустановленными на различных мобильных устройствах Android, в том числе на смартфонах от бренд Leagoo (Модели M5 plus и M8) и Ному (Модели S10 и S20).
Вредоносные программы из этого семейства приложений атакуют системный процесс Zygote. (средство запуска сторонних приложений). Внедряясь в Zygote, эти вредоносные программы могут проникнуть в любой другой процесс.
"Libandroid_runtime.so используется всеми приложениями Android, поэтому вредоносная программа внедряется в область памяти всех запущенных приложений, поскольку основная функция этой вредоносной программы заключается в загрузке дополнительных вредоносных компонентов. «
Потому что он был встроен в одну из системных библиотек в рабочем состоянии и находится в разделе "Система", нельзя удалить стандартными методами, согласно отчету. Злоумышленники смогли незаметно использовать черный ход для загрузки и установки мошеннических модулей.
Согласно отчету в блоге о безопасности Google, первым действием Triada была установка двоичных файлов суперпользовательского типа (su).
Эта подпрограмма позволяла другим приложениям на устройстве использовать права root. Согласно Google, двоичный файл, используемый Triada, требовал пароля, что означает, что он был уникальным по сравнению с двоичными файлами, общими для других систем Linux. Это означало, что вредоносная программа могла напрямую подделать все установленные приложения.
По данным «Лаборатории Касперского», они объясняют почему Триада так трудно обнаружить. Первый, изменяет процесс Zygote. Зигота Это основной процесс операционной системы Android, который используется в качестве шаблона для каждого приложения. Это означает, что как только троянец входит в процесс, он становится частью каждого приложения. который запускается на устройстве.
Во-вторых, он переопределяет системные функции и скрывает свои модули из списка запущенных процессов и установленных приложений. Таким образом, система не видит каких-либо запущенных странных процессов и поэтому не выдает никаких предупреждений.
Согласно анализу Google в их отчете, семейство вредоносных приложений Triada стало настолько изощренным по другим причинам.
С одной стороны, он использовал кодирование XOR и файлы ZIP для шифрования сообщений. С другой стороны, она внедрила код в приложение пользовательского интерфейса системы, которое позволяло отображать рекламу. Бэкдор также ввел в него код, который позволил ему использовать приложение Google Play для загрузки и установки приложений по своему выбору.