Google bestätigt, dass einige Android-Geräte mit Backdoor vorinstalliert wurden

Triada-Backdoors wurden auf einigen Android-Geräten vorinstalliert, bestätigt Google

Google hat kürzlich bestätigt, dass einige Android-Handys unwissentlich von Smartphone-Herstellern mit Malware infiziert wurden, noch bevor sie an Kunden versendet wurden.

In einem detaillierten Studienbeitrag hat Google erklärt, wie es einigen Hackern gelungen ist, Triada, eine Malware, die dazu entwickelt wurde, Spam-Apps auf einem Gerät zu installieren, das Werbung anzeigt, auf Android-Geräte zu bringen, indem sie die vorinstallierte Software manipulierten. Die Schöpfer von Triada sammelten Einnahmen aus den von den Spam-Apps angezeigten Anzeigen.

„Triada infiziert die Systembilder von Geräten über einen Drittanbieter während des Produktionsprozesses. Manchmal möchten OEMs Funktionen einfügen, die nicht Teil des Android Open Source Project sind, wie z. B. Gesichtserkennung.

Der OEM könnte mit einem Drittanbieter zusammenarbeiten, der die gewünschte Funktion entwickeln kann, und das gesamte Systembild an diesen Anbieter zur Entwicklung senden… Basierend auf Analysen glauben wir, dass ein Anbieter mit dem Namen Yehuo oder Blazefire das zurückgegebene Systembild mit Triada infiziert hat“, schrieb Lukasz Siewierski vom Android-Sicherheits- und Datenschutzteam in einem Blogbeitrag.

Die „Triada-Familie“ von Trojanern wurde erstmals von Sicherheitsforschern bei Kaspersky Labs entdeckt, was in einem Blogbeitrag auf ihrer Website im März 2016 beschrieben wurde und dann in einem Folgebeitrag im Juni 2016.

Damals wurde es als Rooting-Trojaner bezeichnet, der darauf ausgelegt war, Hardware auszunutzen, nachdem er erhöhte Berechtigungen erhalten hatte. Nachdem Google 2016 über die Funktionsweise von Triada informiert wurde, hatte es die Erkennung durch seinen Play Protect implementiert, um Triada-Proben von allen Geräten zu entfernen.

Die böswilligen Akteure hinter der Malware wählten jedoch einen anderen, ungewöhnlichen Ansatz und veröffentlichten im Sommer 2017 eine intelligentere Version des Trojaners, die im Juli 2017 von dem Antimalware-Anbieter Dr. Web entdeckt wurde.

„Im Sommer 2017 bemerkten wir eine Veränderung bei neuen Triada-Proben. Anstatt das Gerät zu rooten, um erhöhte Berechtigungen zu erhalten, entwickelte sich Triada zu einer vorinstallierten Android-Framework-Backdoor.

Die Änderungen an Triada umfassten einen zusätzlichen Aufruf in der Protokollfunktion des Android-Frameworks, wie unten mit einer hervorgehobenen Konfigurationszeichenfolge dargestellt“, fügte Siewierski hinzu.

„Durch das Hinterlegen der Protokollfunktion wird der zusätzliche Code jedes Mal ausgeführt, wenn die Protokollmethode aufgerufen wird (d. h. jedes Mal, wenn eine App auf dem Telefon versucht, etwas zu protokollieren). Diese Protokollversuche passieren viele Male pro Sekunde, sodass der zusätzliche Code nonstop läuft. Der zusätzliche Code wird auch im Kontext der App ausgeführt, die eine Nachricht protokolliert, sodass Triada Code in jedem App-Kontext ausführen kann.

Das Code-Injektionsframework in frühen Versionen von Triada funktionierte auf Android-Versionen vor Marshmallow.“

Der besorgniserregendste Faktor war jedoch, dass es mit Standardmethoden nicht gelöscht werden konnte. „Die einzige sichere und geschützte Methode, um diesen Trojaner loszuwerden, besteht darin, saubere Android-Firmware zu installieren“, schrieb Dr. Web in seinem Blogbeitrag.

Laut dem Bericht von Dr. Web wurden mehrere Android-Geräte mit der modifizierten Version von Triada erkannt, darunter Geräte wie Leagoo M5 Plus, Leagoo M8, Nomu S10 und Nomu S20. Obwohl Google die mobilen Geräte, die von der Malware infiziert wurden, nicht nannte, bestätigte es den Bericht von Dr. Web in seinem Blogbeitrag.

Google hat seitdem mit den betroffenen OEMs (Original Equipment Manufacturers) koordiniert, um Systemupdates bereitzustellen und Spuren der Triada-Variante zu entfernen sowie die Backdoor durch OTA (Over-the-Air)-Updates zu schließen.

Google bietet OEMs auch ein automatisiertes System namens „Build Test Suite“ an, das Systembilder auf Malware wie Triada und ähnliche Bedrohungen auf allen Android-Geräten scannt. Darüber hinaus hat der Suchgigant die OEMs aufgefordert, eine Sicherheitsüberprüfung der Geräte in ihrem Netzwerk für allen Drittanbieter-Code durchzuführen und verdächtige Aktivitäten zu überwachen. Außerdem wird Google regelmäßig Geräte, die bereits auf dem Markt sind, bewerten, um nach Angriffen auf die Lieferkette zu suchen.