Специалисты компании «Доктор Веб» предупредили, что 42 модели бюджетных Android-смартфонов заражены банкером Triada (Android.Triada.231) прямо «из коробки».
Еще в июле 2017 года исследователи «Доктор Веб» сообщили о том, что банковский троян семейства Triada был обнаружен в прошивках смартфонов Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Малварь Android.Triada встраивается в системный процесс Zygote, который отвечает за старт программ на мобильных устройствах. За счет заражения Zygote вредонос внедряется в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое.
Хотя другие образчики данного семейства, ранее обнаруженные исследователями, пытались получить root-привилегии для выполнения вредоносных операций, троян Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so на уровне исходного кода. В результате вредоносное приложение «поселяется» непосредственно в прошивке инфицированных мобильных устройств уже на этапе производства, то есть пользователи становятся обладателями зараженных смартфонов «из коробки».
Теперь эксперты сообщили, что с момента обнаружения вредоносной программы перечень моделей зараженных устройств пополнился и в настоящий момент насчитывает более 40 наименований. Стоит сказать, что компания «Доктор Веб» уведомила о проблеме производителей зараженных устройств еще летом прошлого года, но малварь по-прежнему попадает на новые модели смартфонов. Например, теперь она была найдена на смартфоне Leagoo M9, который был анонсирован в декабре 2017 года.
Проведенное расследование показало, что троян попал в прошивку по просьбе партнера Leagoo, неназванной компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкции по внесению стороннего кода в системные библиотеки перед их компиляцией. К сожалению, эта сомнительная просьба не вызвала у производителя подозрений, и троян беспрепятственно проник на смартфоны.
Анализ приложения, которое компания-партнер предложила добавить в прошивку Leagoo M9, показал, что оно подписано тем же сертификатом, что и троян Android.MulDrop.924, обнаруженный специалистами в 2016 году. Теперь эксперты полагают, что разработчик, попросивший внести дополнительную программу в образ операционной системы, может быть прямо или косвенно причастен к распространению Android.Triada.231.
В настоящее время банкер был обнаружен в прошивке следующих смартфонов:
- Leagoo M5
- Leagoo M5 Plus
- Leagoo M5 Edge
- Leagoo M8
- Leagoo M8 Pro
- Leagoo Z5C
- Leagoo T1 Plus
- Leagoo Z3C
- Leagoo Z1C
- Leagoo M9
- ARK Benefit M8
- Zopo Speed 7 Plus
- UHANS A101
- Doogee X5 Max
- Doogee X5 Max Pro
- Doogee Shoot 1
- Doogee Shoot 2
- Tecno W2
- Homtom HT16
- Umi London
- Kiano Elegance 5.1
- iLife Fivo Lite
- Mito A39
- Vertex Impress InTouch 4G
- Vertex Impress Genius
- myPhone Hammer Energy
- Advan S5E NXT
- Advan S4Z
- Advan i5E
- STF AERIAL PLUS
- STF JOY PRO
- Tesla SP6.2
- Cubot Rainbow
- EXTREME 7
- Haier T51
- Cherry Mobile Flare S5
- Cherry Mobile Flare J2S
- Cherry Mobile Flare P1
- NOA H6
- Pelitt T1 PLUS
- Prestigio Grace M5 LTE
- BQ 5510
При этом эксперты предупреждают, что этот список не является окончательным, и перечень инфицированных моделей смартфонов может оказаться гораздо шире. Зараженные банкером устройства продают в России, Польше, Индонезии, Китае, Мексике, Казахстане, Сербии.
Исследователи резюмируют, что такое широкое распространение трояна говорит о том, что многие производители Android-устройств уделяют слишком мало внимания вопросам безопасности, и внедрение троянского кода в системные компоненты из-за ошибок или злого умысла может быть весьма распространенной практикой.
UPD. 20.03.2018
Представители компании mPTech, производящей устройства под брендом HAMMER, выпустили официальное заявление, согласно которому модель HAMMER Energy, а также другие устройства HAMMER, myPhone и партнеров компании, не заражены банкером Triada. Компания уверяет, что все устройства на Android 6.0 и 7.0 абсолютно чисты. Согласно документу, зараженные модели были обнаружены еще в 2016 году, но эту проблему быстро ликвидировали и с начала 2017 года не было зафиксировано ни одного случая заражения "из коробки".