Google conferma che alcuni dispositivi Android sono stati preinstallati con un backdoor

I backdoor di Triada erano preinstallati su alcuni dispositivi Android, rivela Google

Google ha recentemente confermato che alcuni smartphone Android sono stati inconsapevolmente infettati da malware da parte dei produttori di smartphone anche prima di essere spediti ai clienti.

In un post di studio dettagliato, Google ha spiegato come alcuni hacker siano riusciti a inserire Triada, un malware progettato per installare app spam su un dispositivo che visualizza annunci, sui dispositivi Android manomettendo il software preinstallato. I creatori di Triada hanno raccolto entrate dagli annunci visualizzati dalle app spam.

“Triada infetta le immagini di sistema del dispositivo attraverso un terzo durante il processo di produzione. A volte gli OEM vogliono includere funzionalità che non fanno parte del Progetto Open Source Android, come lo sblocco facciale.

L’OEM potrebbe collaborare con un terzo che può sviluppare la funzionalità desiderata e inviare l’intera immagine di sistema a quel fornitore per lo sviluppo… Sulla base dell’analisi, riteniamo che un fornitore con il nome Yehuo o Blazefire abbia infettato l’immagine di sistema restituita con Triada,” ha scritto Lukasz Siewierski, del team di sicurezza e privacy di Android, in un post sul blog.

La “famiglia Triada” di trojan è stata scoperta per la prima volta dai ricercatori di sicurezza di Kaspersky Labs, che è stata descritta in un post sul loro sito web nel marzo 2016 e poi in un post di follow-up nel giugno 2016.

All’epoca, è stata notata come un trojan di rooting progettato per sfruttare l’hardware dopo aver ottenuto privilegi elevati. Una volta a conoscenza del funzionamento di Triada nel 2016, Google ha implementato la rilevazione attraverso il suo Play Protect per rimuovere i campioni di Triada da tutti i dispositivi.

Tuttavia, gli attori malevoli dietro il malware hanno adottato un altro approccio insolito e hanno rilasciato una versione più intelligente del trojan nell’estate del 2017, che è stata scoperta dal fornitore di antimalware Dr. Web nel luglio 2017.

“Durante l’estate del 2017 abbiamo notato un cambiamento nei nuovi campioni di Triada. Invece di fare il rooting del dispositivo per ottenere privilegi elevati, Triada è evoluta per diventare un backdoor preinstallato nel framework Android.

Le modifiche a Triada includevano una chiamata aggiuntiva nella funzione di log del framework Android, dimostrata di seguito con una stringa di configurazione evidenziata,” ha aggiunto Siewierski.

“Backdoorando la funzione di log, il codice aggiuntivo viene eseguito ogni volta che viene chiamato il metodo di log (cioè, ogni volta che un’app sul telefono cerca di registrare qualcosa). Questi tentativi di log avvengono molte volte al secondo, quindi il codice aggiuntivo è in esecuzione senza sosta. Il codice aggiuntivo viene anche eseguito nel contesto dell’app che registra un messaggio, quindi Triada può eseguire codice in qualsiasi contesto di app.

Il framework di iniezione del codice nelle prime versioni di Triada funzionava su versioni di Android precedenti a Marshmallow.”

Tuttavia, il fattore più preoccupante è che non poteva essere eliminato utilizzando metodi standard. “L’unico metodo sicuro e protetto per liberarsi di questo Trojan è installare firmware Android pulito,” ha scritto Dr. Web nel suo post sul blog.

Secondo il rapporto di Dr. Web, diversi dispositivi Android sono stati rilevati con la versione modificata di Triada, inclusi dispositivi come Leagoo M5 Plus, Leagoo M8, Nomu S10 e Nomu S20. Anche se Google non ha rivelato i dispositivi mobili che sono stati infettati dal malware, ha confermato il rapporto di Dr. Web nel suo post sul blog.

Google ha da allora coordinato con gli OEM (produttori di apparecchiature originali) interessati per fornire aggiornamenti di sistema e rimuovere le tracce della variante di Triada e chiudere il backdoor attraverso aggiornamenti OTA (over-the-air).

Google sta anche offrendo agli OEM un sistema automatizzato chiamato “Build Test Suite”, che scansiona le immagini di sistema contro malware come Triada e minacce simili su tutti i dispositivi Android. Inoltre, il gigante della ricerca ha richiesto agli OEM di effettuare una revisione della sicurezza dei dispositivi nella loro rete per tutto il codice di terze parti e monitorare eventuali attività sospette. Inoltre, Google valuterà regolarmente i dispositivi già sul mercato per cercare attacchi alla catena di fornitura.