Google于出厂前检测到Android设备上已预装了Backdoor

恶意软件

谷歌 昨天(6月XNUMX日,星期四) 我通过出版物报告 从他的Google安全博客中, 出厂前已检测到Android设备上预装了后门。

谷歌已经研究了这种情况 几年前被计算机安全专家透露后。 这些是“三合会家庭”的恶意应用程序 旨在在Android设备上发送垃圾邮件并做广告。

关于特里亚达

根据Google的说法, Triada开发了一种在Android手机上安装恶意软件的方法 甚至在客户开始甚至在他们的设备上安装单个应用程序之前就已经在工厂中进行了虚拟化。

在2016年XNUMX月,首次描述了Triada。 卡巴斯基实验室(Kaspersky Lab)网站上的博客文章中,该公司于2016年XNUMX月发布了另一篇博客文章。

那一刻 这是分析家所不知道的根深蒂固的特洛伊木马 来自安全公司的电子邮件,它在获得“特权提升”后试图利用Android设备。

正如卡巴斯基实验室在2016年所解释的那样, 在设备上安装Triada之后, 其主要目的是安装可用于发送垃圾邮件和显示广告的应用程序。

它使用了一系列令人印象深刻的工具,包括绕过Android内置安全保护措施的生根漏洞,以及调整Android OS的Zygote流程的方法。

这些是受影响的品牌

这些恶意应用程序于2017年被发现预装在各种Android移动设备上,包括来自 Leagoo品牌 (M5 plus和M8型号) 和诺姆 (S10和S20型号)。

此应用程序家族中的恶意程序攻击了称为Zygote的系统进程 (第三方应用程序进程启动器)。 通过将自己注入Zygote,这些恶意程序可以渗透到任何其他进程。

“ Libandroid_runtime.so被所有Android应用程序使用,因此该恶意软件会将自身注入所有正在运行的应用程序的内存区域,因为此恶意软件的主要功能是下载其他恶意组件。 «

因为它内置在系统库之一中 可操作,位于“系统”部分, 无法使用标准方法删除, 根据报告。 攻击者已经能够悄悄地使用后门来下载和安装恶意模块。

根据Google安全博客上的报告,Triada的第一步是安装超级用户类型的二进制文件(su)。

此子例程允许设备上的其他应用程序使用root权限。 根据Google的说法,Triada使用的二进制文件需要密码,这意味着与其他Linux系统通用的二进制文件相比,它是唯一的。 这意味着该恶意软件可以直接欺骗所有已安装的应用程序。

据卡巴斯基实验室,他们解释 为什么Triada很难被发现。 第一的, 修改Zygote流程。 合子 这是Android操作系统的基本过程,用作每个应用程序的模板, 这意味着木马一旦进入进程,它将成为每个应用程序的一部分 在设备上启动。

其次,它会覆盖系统功能,并从正在运行的进程和已安装的应用程序列表中隐藏其模块。 因此,系统看不到任何奇怪的进程在运行,因此不会引发任何警报。

根据Google在其报告中的分析,其他原因使Triada系列恶意应用程序变得如此复杂。

一方面,它使用XOR编码和ZIP文件对通信进行加密。 另一方面,她将代码注入到允许显示广告的系统用户界面应用程序中。 后门程序还向他注入了代码,使他能够使用Google Play应用程序下载和安装他选择的应用程序。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。