Google igår (torsdag 6 juni) Jag rapporterar genom en publikation från hans Googles säkerhetsblogg, som har upptäckt förekomsten av en förinstallerad bakdörr på Android-enheter innan de lämnar fabrikerna.
Google har studerat situationen efter att det avslöjades av datasäkerhetsspecialister några år tidigare. Det här är de skadliga applikationerna från «Triad-familjen» utformad för att skräppost och annonsera på en Android-enhet.
Om Triada
Enligt Google, Triada har utvecklat en metod för att installera skadlig kod på Android-telefoner praktiskt taget på fabriken, även innan kunder startade eller ens installerade en enda app på sina enheter.
Det var i mars 2016 som Triada först beskrevs. i ett blogginlägg på datasäkerhetsföretaget Kaspersky Labs webbplats. Ett annat blogginlägg tillägnades av företaget i juni 2016.
Vid den tiden det var en djupt rotad trojan som okänd för analytiker från säkerhetsföretaget som försöker utnyttja Android-enheter efter att ha fått Elevated Privileges.
Som förklarats av Kaspersky Lab för 2016, när Triada har installerats på en enhet, Huvudsyftet var att installera applikationer som kunde användas för att skicka skräppost och visa annonser.
Den använde en imponerande uppsättning verktyg, inklusive att rota sårbarheter som kringgår Androids inbyggda säkerhetsskydd och sätt att finjustera Android OS: s Zygote-process.
Dessa är de drabbade varumärkena
Dessa skadliga appar hittades 2017 förinstallerade på olika Android-mobila enheter, inklusive smartphones från varumärket Leagoo (M5 plus och M8 modeller) och Nomu (S10- och S20-modellerna).
Skadliga program i denna familj av applikationer attackerar systemprocessen som heter Zygote (tredjepartsprogrammets startprogram). Genom att injicera sig i Zygote kan dessa skadliga program infiltrera någon annan process.
"Libandroid_runtime.so används av alla Android-applikationer, så skadlig programvara injicerar sig själv i minnesområdet för alla program som körs eftersom den här skadliga programvarans huvudfunktion är att ladda ner ytterligare skadliga komponenter. «
Eftersom den byggdes i ett av systembiblioteken operativt och finns i systemavsnittet, vilket kan inte tas bort med standardmetoder, enligt rapporten. Angripare har tyst kunnat använda bakdörren för att ladda ner och installera oseriösa moduler.
Enligt rapporten på Googles säkerhetsblogg var Triadas första åtgärd att installera en superanvändartyp av binära filer (su).
Denna underrutin tillät andra applikationer på enheten att använda rotbehörigheter. Enligt Google krävde det binära som Triada använde ett lösenord, vilket betyder att det var unikt jämfört med binärer som är vanliga för andra Linux-system. Detta innebar att skadlig programvara kunde spoofa alla installerade applikationer direkt.
Enligt Kaspersky Lab förklarar de varför Triada är så svårt att upptäcka. Först, ändrar Zygote-processen. Zygot Det är den grundläggande processen för Android-operativsystemet som används som en mall för varje applikation, vilket innebär att när Trojan kommer in i processen blir den en del av varje applikation som startar på enheten.
För det andra åsidosätter det systemfunktionerna och döljer sina moduler från listan över pågående processer och installerade applikationer. Därför ser systemet inte några konstiga processer som körs och det kastar därför inga varningar.
Enligt Googles analys i sin rapport har andra skäl gjort Triadafamiljen av skadliga appar så sofistikerade.
Å ena sidan använde den XOR-kodning och ZIP-filer för att kryptera kommunikation. Å andra sidan injicerade hon kod i systemets användargränssnittsapplikation som gjorde det möjligt att visa annonser. Bakdörren injicerade också kod i honom som tillät honom att använda Google Play-appen för att ladda ner och installera appar efter eget val.