Google confirma que alguns dispositivos Android vieram pré-instalados com Backdoor

Backdoors Triada foram pré-instalados em poucos dispositivos Android, revela Google

O Google confirmou recentemente que alguns smartphones Android foram infectados sem saber com malware por fabricantes de smartphones mesmo antes de serem enviados aos clientes.

Em um post detalhado no blog, o Google explicou como alguns hackers conseguiram colocar o Triada, um malware projetado para instalar aplicativos de spam em um dispositivo que exibe anúncios, em dispositivos Android ao adulterar o software pré-instalado. Os criadores do Triada coletaram receita dos anúncios exibidos pelos aplicativos de spam.

“Triada infecta imagens de sistema de dispositivos através de um terceiro durante o processo de produção. Às vezes, os OEMs querem incluir recursos que não fazem parte do Android Open Source Project, como desbloqueio facial.

O OEM pode fazer parceria com um terceiro que pode desenvolver o recurso desejado e enviar toda a imagem do sistema para esse fornecedor para desenvolvimento… Com base na análise, acreditamos que um fornecedor usando o nome Yehuo ou Blazefire infectou a imagem do sistema retornada com Triada,” escreveu Lukasz Siewierski, da equipe de segurança e privacidade do Android, em um post no blog.

A “família Triada” de trojans foi descoberta pela primeira vez por pesquisadores de segurança da Kaspersky Labs, que foi descrita em um post no blog em seu site em março de 2016 e depois em um post de acompanhamento em junho de 2016.

Na época, foi notado como um trojan de rooting projetado para explorar hardware após obter privilégios elevados. Assim que tomou conhecimento sobre o funcionamento do Triada em 2016, o Google implementou a detecção através do seu Play Protect para remover amostras do Triada de todos os dispositivos.

No entanto, os atores maliciosos por trás do malware adotaram outra abordagem incomum e lançaram uma versão mais inteligente do trojan no verão de 2017, que foi descoberta pelo fornecedor de antimalware Dr. Web em julho de 2017.

“Durante o verão de 2017, notamos uma mudança nas novas amostras do Triada. Em vez de fazer root no dispositivo para obter privilégios elevados, o Triada evoluiu para se tornar uma backdoor do framework Android pré-instalada.

As mudanças no Triada incluíram uma chamada adicional na função de log do framework Android, demonstrada abaixo com uma string de configuração destacada,” acrescentou Siewierski.

“Ao backdoor a função de log, o código adicional é executado toda vez que o método de log é chamado (ou seja, toda vez que qualquer aplicativo no telefone tenta registrar algo). Essas tentativas de log acontecem muitas vezes por segundo, então o código adicional está rodando sem parar. O código adicional também é executado no contexto do aplicativo que registra uma mensagem, então o Triada pode executar código em qualquer contexto de aplicativo.

O framework de injeção de código nas primeiras versões do Triada funcionou em versões do Android anteriores ao Marshmallow.”

No entanto, o fator mais preocupante é que não poderia ser deletado usando métodos padrão. “O único método seguro e seguro para se livrar deste Trojan é instalar firmware Android limpo,” escreveu Dr. Web em seu post no blog.

De acordo com o relatório do Dr. Web, vários dispositivos Android foram detectados com a versão modificada do Triada, incluindo dispositivos como Leagoo M5 Plus, Leagoo M8, Nomu S10 e Nomu S20. Embora o Google não tenha revelado os dispositivos móveis que foram infectados pelo malware, confirmou o relatório do Dr. Web em seu post no blog.

Desde então, o Google coordenou com os OEMs afetados (Fabricantes de Equipamentos Originais) para fornecer atualizações de sistema e remover vestígios da variante Triada e fechar a backdoor através de atualizações OTA (over-the-air).

O Google também está oferecendo aos OEMs um sistema automatizado chamado “Build Test Suite”, que escaneia imagens de sistema contra malware como Triada e ameaças semelhantes em todos os dispositivos Android. Além disso, o gigante da busca solicitou aos OEMs que realizem uma revisão de segurança dos dispositivos em sua rede para todo código de terceiros e monitorem qualquer atividade suspeita. Além disso, o Google estará avaliando regularmente dispositivos já no mercado para procurar ataques à cadeia de suprimentos.