Google včera (štvrtok 6. júna) Hlásim sa prostredníctvom publikácie z jeho blogu Google Security, ktorý pred opustením tovární zistil prítomnosť predinštalovaného backdooru na zariadeniach Android.
Google si situáciu preštudoval potom, čo to pred niekoľkými rokmi odhalili špecialisti na počítačovú bezpečnosť. Toto sú škodlivé aplikácie «rodiny Triad» určené na spam a inzerciu na zariadeniach s Androidom.
O Triade
Podľa spoločnosti Google Spoločnosť Triada vyvinula metódu inštalácie malvéru do telefónov s Androidom prakticky v továrni, ešte predtým, ako zákazníci spustili alebo dokonca nainštalovali jednu aplikáciu na svoje zariadenie.
Bolo to v marci 2016, kedy bola prvýkrát opísaná Triada. v blogovom príspevku na webe počítačovej bezpečnostnej spoločnosti Kaspersky Lab. Ďalšiemu blogovému príspevku sa spoločnosť venovala v júni 2016.
V tom čase bol hlboko zakorenený trójsky kôň, ktorý analytici nepoznali od bezpečnostnej spoločnosti pokúšajúcej sa využívať zariadenia Android po získaní zvýšených oprávnení.
Ako vysvetľuje spoločnosť Kaspersky Lab pre rok 2016, akonáhle je Triada nainštalovaná na zariadení, jeho hlavným účelom bolo inštalovať aplikácie, ktoré by mohli byť použité na zasielanie spamu a zobrazovanie reklám.
Využila pôsobivú sadu nástrojov, vrátane zakorenenia zraniteľností, ktoré obchádzajú zabudované bezpečnostné ochrany systému Android, a spôsobov, ako vylepšiť proces Zygote v systéme Android.
Toto sú dotknuté značky
Tieto škodlivé aplikácie sa našli v roku 2017 predinštalované na rôznych mobilných zariadeniach s Androidom vrátane smartfónov z značka Leagoo (Modely M5 plus a M8) a Nomu (Modely S10 a S20).
Škodlivé programy v tejto skupine aplikácií napádajú systémový proces s názvom Zygote (spúšťač procesov aplikácií tretích strán). Injekciou do Zygote môžu tieto škodlivé programy preniknúť do ktoréhokoľvek iného procesu.
„Libandroid_runtime.so používajú všetky aplikácie pre Android, takže sa malware vstrekuje do oblasti pamäte všetkých spustených aplikácií, pretože hlavnou funkciou tohto škodlivého softvéru je stiahnutie ďalších škodlivých komponentov. «
Pretože bol zabudovaný v jednej zo systémových knižníc funkčné a nachádza sa v sekcii Systém, ktorá nie je možné odstrániť štandardnými metódami, podľa správy. Útočníci boli schopní ticho použiť zadné vrátka na stiahnutie a inštaláciu nečestných modulov.
Podľa správy na blogu Google Security Blog bola prvou akciou spoločnosti Triada inštalácia binárnych súborov (su) typu superužívateľ.
Tento podprogram umožnil iným aplikáciám v zariadení používať oprávnenia root. Podľa spoločnosti Google vyžadoval binárny súbor používaný spoločnosťou Triada heslo, čo znamená, že bolo jedinečné v porovnaní s binárnymi súbormi, ktoré sú bežné v iných systémoch Linux. To znamená, že škodlivý softvér mohol priamo sfalšovať všetky nainštalované aplikácie.
Podľa spoločnosti Kaspersky Lab to vysvetľujú prečo je Triada tak ťažké odhaliť. Najprv, upravuje proces Zygote. Zygota Je to základný proces operačného systému Android, ktorý sa používa ako šablóna pre každú aplikáciu, čo znamená, že akonáhle trójsky kôň vstúpi do procesu, stane sa súčasťou každej aplikácie ktorý sa začína na prístroji.
Po druhé, potlačí systémové funkcie a skryje svoje moduly zo zoznamu spustených procesov a nainštalovaných aplikácií. Systém preto nevidí spustené žiadne podivné procesy, a preto nevydáva žiadne výstrahy.
Podľa analýzy spoločnosti Google v ich správe, vďaka ďalším dôvodom bola rodina škodlivých aplikácií Triada taká sofistikovaná.
Na jednej strane na šifrovanie komunikácie využívalo kódovanie XOR a súbory ZIP. Na druhej strane vložila kód do aplikácie používateľského rozhrania systému, ktorá umožňovala zobrazovať reklamy. Backdoor doňho tiež vložil kód, ktorý mu umožňoval používať aplikáciu Google Play na sťahovanie a inštaláciu aplikácií podľa jeho výberu.