гоогле јуче (четвртак, 6. јун) Извештавам путем публикације са његовог Гоогле безбедносног блога, која је открила присуство унапред инсталираног бацкдоор-а на Андроид уређајима пре напуштања фабрика.
Гоогле је проучио ситуацију након што су је неколико година раније открили стручњаци за рачунарску безбедност. Ово су злонамерне апликације «породице Триада» дизајниран за нежељену пошту и оглашавање на Андроид уређају.
О Триади
Према Гоогле-у, Триада је развила метод за инсталирање малвера на Андроид телефоне практично у фабрици, чак и пре него што су купци покренули или чак инсталирали једну апликацију на своје уређаје.
У марту 2016. године први пут је описана Триада. у посту на блогу на веб локацији компаније за рачунарску безбедност Касперски Лаб. Још један пост на блогу компанија је посветила у јуну 2016. године.
У том тренутку, био је то дубоко укорењени тројанац непознат аналитичарима из заштитарске компаније која покушава да експлоатише Андроид уређаје након добијања Повећаних привилегија.
Као што је објаснио Касперски Лаб за 2016. годину, након што се Триада инсталира на уређају, његова главна сврха била је инсталирање апликација које би се могле користити за слање нежељене поште и приказивање огласа.
Користио је импресиван скуп алата, укључујући укорјењивање рањивости које заобилазе уграђену сигурносну заштиту Андроид-а и начине за подешавање Зиготе процеса Андроид ОС-а.
То су погођени брендови
Ове злонамерне апликације пронађене су у 2017. години унапред инсталиране на различитим Андроид мобилним уређајима, укључујући паметне телефоне компаније бренд Леагоо (Модели М5 плус и М8) и Ному (Модели С10 и С20).
Злонамерни програми из ове породице апликација нападају системски процес под називом Зиготе (покретач процеса независних произвођача). Убризгавањем себе у Зиготе, ови злонамерни програми могу се инфилтрирати у било који други процес.
„Либандроид_рунтиме.со користе све Андроид апликације, па се злонамерни софтвер убризгава у меморијско подручје свих покренутих апликација, јер је главна функција овог малвера преузимање додатних злонамерних компоненти. «
Зато што је изграђена у једној од системских библиотека оперативан и налази се у одељку Систем који не могу се уклонити стандардним методама, према извештају. Нападачи су могли тихо да користе задња врата за преузимање и инсталирање неваљалих модула.
Према извештају на Гоогле Сецурити Блог-у, прва акција Триаде била је инсталирање бинарних датотека суперусер (су).
Ова потпрограм је дозволио другим апликацијама на уређају да користе роот дозволе. Према Гоогле-у, бинарни систем који је користила Триада захтевао је лозинку, што значи да је био јединствен у поређењу са бинарним датотекама уобичајеним за друге Линук системе. То је значило да је малвер могао директно да лажира све инсталиране апликације.
Према Касперски Лаб-у, они објашњавају зашто је Триаду тако тешко открити. Први, модификује процес зиготе. Зиготе То је основни процес Андроид оперативног система који се користи као образац за сваку апликацију, што значи да када тројанац једном уђе у процес, постаје део сваке апликације која се покреће на уређају.
Друго, поништава системске функције и сакрива своје модуле са листе извршених процеса и инсталираних апликација. Због тога систем не види да се покрећу било какви чудни процеси и стога не шаље упозорења.
Према Гооглеовој анализи у њиховом извештају, други разлози чине породицу злонамерних апликација Триада толико софистицираном.
С једне стране, користило је КСОР кодирање и ЗИП датотеке за шифровање комуникација. С друге стране, убризгала је код у апликацију корисничког интерфејса система која је омогућавала приказивање огласа. Бацкдоор му је такође убацио код који му је омогућио да користи апликацију Гоогле Плаи за преузимање и инсталирање апликација по свом избору.