Google подтверждает, что некоторые устройства Android были предустановлены с бэкдором

Бэкдоры Triada были предустановлены на нескольких устройствах Android, сообщает Google

Google недавно подтвердила, что некоторые смартфоны Android были незаметно заражены вредоносным ПО производителями смартфонов еще до того, как они были отправлены клиентам.

В подробном посте Google объяснила, как некоторые хакеры хитроумно смогли установить Triada, вредоносное ПО, предназначенное для установки спам-приложений на устройство, которое отображает рекламу, на устройства Android, подменив предустановленное программное обеспечение. Создатели Triada получали доход от рекламы, отображаемой спам-приложениями.

“Triada заражает системные образы устройства через третью сторону в процессе производства. Иногда OEM хотят включить функции, которые не являются частью проекта Android Open Source, такие как разблокировка по лицу.

OEM может сотрудничать с третьей стороной, которая может разработать желаемую функцию и отправить весь системный образ этому поставщику для разработки… На основе анализа мы считаем, что поставщик с именем Yehuo или Blazefire заразил возвращенный системный образ Triada,” написал Лукаш Сивьерский из команды безопасности и конфиденциальности Android в блоге.

Семейство троянов “Triada” было впервые обнаружено исследователями безопасности в Лабораториях Касперского, что было описано в посте на их сайте в марте 2016 года, а затем в последующем посте в июне 2016 года.

Тогда это было отмечено как рут-троян, предназначенный для эксплуатации аппаратного обеспечения после получения повышенных привилегий. Узнав о работе Triada в 2016 году, Google внедрила обнаружение через свой Play Protect, чтобы удалить образцы Triada со всех устройств.

Тем не менее, злонамеренные лица, стоящие за вредоносным ПО, предприняли другой необычный подход и выпустили более умную версию трояна летом 2017 года, которая была обнаружена антивирусным поставщиком Dr. Web в июле 2017 года.

“Летом 2017 года мы заметили изменения в новых образцах Triada. Вместо того чтобы рутировать устройство для получения повышенных привилегий, Triada эволюционировала в предустановленный бэкдор Android.

Изменения в Triada включали дополнительный вызов в функции журнала Android, продемонстрированный ниже с выделенной строкой конфигурации,” добавил Сивьерский.

“Путем внедрения бэкдора в функцию журнала, дополнительный код выполняется каждый раз, когда вызывается метод журнала (то есть каждый раз, когда любое приложение на телефоне пытается что-то записать в журнал). Эти попытки записи в журнал происходят много раз в секунду, поэтому дополнительный код работает без остановки. Дополнительный код также выполняется в контексте приложения, записывающего сообщение, поэтому Triada может выполнять код в любом контексте приложения.

Фреймворк внедрения кода в ранних версиях Triada работал на версиях Android до Marshmallow.”

Тем не менее, самым тревожным фактором было то, что его нельзя было удалить стандартными методами. “Единственный безопасный и надежный способ избавиться от этого трояна — установить чистую прошивку Android,” написал Dr. Web в своем блоге.

Согласно отчету Dr. Web, несколько устройств Android были обнаружены с модифицированной версией Triada, включая такие устройства, как Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Хотя Google не раскрыла мобильные устройства, которые были заражены вредоносным ПО, она подтвердила отчет Dr. Web в своем блоге.

С тех пор Google скоординировала свои действия с пострадавшими OEM (производителями оригинального оборудования), чтобы предоставить системные обновления и удалить следы варианта Triada, а также закрыть бэкдор через OTA (по воздуху) обновления.

Google также предлагает OEM автоматизированную систему под названием “Build Test Suite”, которая сканирует системные образы на наличие вредоносного ПО, такого как Triada, и аналогичных угроз на всех устройствах Android. Кроме того, поисковый гигант попросил OEM провести проверку безопасности устройств в своей сети на наличие кода третьих сторон и следить за любой подозрительной активностью. В дополнение к этому, Google будет регулярно оценивать устройства, уже находящиеся на рынке, чтобы искать атаки на цепочку поставок.