Специалисты компании «Доктор Веб» предупредили, что в прошивку ряда мобильных устройств прямо «из коробки» внедрен троян семейства Android.Triada. Такая малварь встраивается в системный процесс Zygote, который отвечает за старт программ на мобильных устройствах. За счет заражения Zygote вредонос внедряется в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое.

Хотя другие образчики данного семейства, ранее обнаруженные исследователями, пытались получить root-привилегии для выполнения вредоносных операций, троян Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so.

Модифицированная версия библиотеки была обнаружена сразу на нескольких мобильных устройствах. В частности в отчете «Доктор Веб» упомянуты смартфоны Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. «Библиотека libandroid_runtime.so используется всеми приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений», — пишут специалисты компании.

Малварь встроена в libandroid_runtime.so таким образом, что получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск трояна происходит именно через нее.

После инициализации вредонос выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении работает. Если малврь функционирует в среде Dalvik, она перехватывает один из системных методов, что позволяет отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.

Так как внедрение трояна в вышеупомянутую библиотеку было реализовано на уровне исходного кода, исследователи полагают, что к распространению малвари причастны либо инсайдеры, либо недобросовестные партнеры производителей устройств, которые участвовали в создании прошивок.

Основной задачей Android.Triada.231 является незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты малвари. Для их запуска троян проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троян.

Если каталог успешно обнаружен, малварь ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционных систем, соответственно). Обнаружив файл, троян расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же нужный объект не найден, проводится поиск файла 36.jmd. Он тоже расшифровывается и сохраняется под именем mms-core.jar, запускается при помощи класса DexClassLoader, после чего созданная копия удаляется с устройства.

В результате Android.Triada.231 способен внедрять практически любые троянские модули в процессы любых программ и влиять на их работу. К примеру, операторы малвари могут отдать команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальных данных и информации из банковских приложений, модулей для кибершпионажа, перехвата переписки из клиентов социальных сетей, интернет-мессенджеров и так далее. Также троян способен извлекать из библиотеки libandroid_runtime.so модуль Android.Triada.194.origin. Его основная функция — загрузка дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.

Исследователи отмечают, что удалить троян стандартными методами не получится, придется перепрошивать устройство с нуля, заведомо «чистой» прошивкой.

10 комментариев

  1. Themistocles

    29.07.2017 at 09:48

    Но никто не будет прошивать такие непопулярные устойчива. Их не для того покупают

    • Int

      31.07.2017 at 14:12

      Что же помешает их прошить? Их покупают для того, чтобы пользоваться. А если там троян, то куда ж деваться? Придётся перепрошивать. Может быть, в Москве уже деньги считают толщиной пачки, но у некоторых людей зарплата всё ещё в районе 15 тысяч, и телефон они выбирают просто по цене, а не по понтам или как там ещё выбирают телефоны «для того».

      • john_

        31.07.2017 at 16:48

        1 люди покупающие такие телефоны не разбираются а безопасности
        2 они не знают о существовании этого чуда внутри аппарата
        3 они не смогут перепрошить, так как скорей всего прошивки для этого чуда нет. Собирать самому?

  2. john_

    31.07.2017 at 16:50

    Покупать китайские смартфоны — информационное самоубийство

    • Светломир

      31.07.2017 at 16:55

      Сейчас почти все телефоны Китайского производства. Китайские телефоны сомнительных брендов будет чуточку точнее. А то ты всех производителей в один ряд поставил.

  3. Anzhie

    26.08.2017 at 11:21

    Не знаю как насчет Leagoo, а еще ни разу не подводил меня именно NOMU.

  4. cr@ck3r

    08.09.2017 at 11:20

    Int+ john_+ Светломир+
    Со всеми согласен. Каждый покупает телефон/коммуникатор, в соответствии с финансами…
    Насчет безопасности Android система, одна из самых не безопасных, несмотря на то что содержит ядро Linux. Пользоваться банковскими приложения и управлением счетов, на устройстве под управлением Android, вообще не желательно, особенно на дешевых и со «вшитыми» вредоносными программами.
    Такие телефоны, покупают детям, мамам и т.п. Есть риск что со счета карты SIM, будут пропадать, поэтому устанавливать только доверенные и проверенные приложения с Play Store (Google Play). А лучше почитать отзывы, тесты и искать бюджетное устройство с прошивками и поддержкой сообщества.
    Всем удачи!

  5. kinokus

    08.10.2017 at 07:48

  6. zrom

    01.11.2017 at 12:36

    Haier G7s для РФ туда же

  7. В Интернете кто-то не прав

    19.01.2018 at 22:18

    Ерунды тут какой-то понаписали в комментариях. Я аж не выдержал и зарегистрировался.
    1) Устройства вполне себе популярные в кругу знающих людей.
    2) Как раз для таких людей нет проблемы ни прошить, ни рут получить ни кастом рекавери запилить.
    3) Тем более, что для этих «непопулярных» смартфонов всё есть на 4PDA.
    4) Вот как раз нубы про такие фирмы не знают и покупают гораздо более отстойные аппараты по более высокой цене в какой-нибудь Евросети.

    А по безопасности Андроида я так скажу: у кого руки не из того места — у того любая ось небезопасной будет.

Оставить мнение