Троянец в прошивках Android-смартфонов
По сообшению компании «Доктор Веб», ее специалисты еще в середине 2017 г. выявили нового троянца Android.Triada.231 в прошивках нескольких бюджетных моделей Android-смартфонов. С момента обнаружения вредоносной программы перечень моделей зараженных устройств постоянно пополнялся и в настоящий момент насчитывает более 40 наименований. «Доктор Веб» публикует результаты проведенного расследования.
Android.Triada.231 – представитель семейства троянцев Android.Triada; они заражают процесс системного компонента ОС Android под названием Zygote, который участвует в запуске всех программ. После внедрения в этот модуль троянцы проникают в процессы остальных работающих приложений и получают возможность выполнять различные действия без участия пользователя, например незаметно скачивать и запускать ПО. Особенность Android.Triada.231 заключается в том, что этого троянца встраивают в системную библиотеку libandroid_runtime.so на уровне исходного кода, а не распространяют его как отдельную программу. В результате действий злоумышленников вредоносное приложение внедряется непосредственно в прошивку инфицированных мобильных устройств уже на этапе производства, и пользователи становятся обладателями зараженных смартфонов «из коробки».
После обнаружения Android.Triada.231 летом прошлого года компания «Доктор Веб» сообщила о нем производителям зараженных устройств. Однако вредоносная программа по-прежнему попадает на новые модели смартфонов: так, она была найдена на смартфоне Leagoo M9, анонсированном в декабре 2017 г. Как показало исследование, добавление троянца в прошивку произошло по просьбе партнера Leagoo, компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкцию по внесению стороннего кода в системные библиотеки перед их сборкой (компиляцией). К сожалению, такая просьба не вызвала у производителя никаких подозрений, и Android.Triada.231 беспрепятственно попал на смартфоны.
Анализ приложения, которое компания-партнер предложила внести в прошивку Leagoo M9, показал, что оно подписано тем же сертификатом, что и троянец Android.MulDrop.924, о котором «Доктор Веб» рассказывал еще в 2016 г. В компании предполагают, что разработчик, попросивший внести дополнительную программу в образ ОС, может быть прямо или косвенно причастен к распространению Android.Triada.231.
К настоящему времени вирусные аналитики выявили Android.Triada.231 в прошивке более 40 моделей Android-устройств (в основном малораспространенных марок), но перечень инфицированных моделей смартфонов может оказаться гораздо шире. Такое широкое распространение Android.Triada.231 говорит о том, что многие производители Android-устройств уделяют мало внимания вопросам безопасности, и внедрение троянского кода в системные компоненты может быть весьма распространенной практикой.
Продукты Dr.Web для Android обнаруживают все известные модификации Android.Triada.231, поэтому, чтобы выяснить, заражено ли мобильное устройство, необходимо выполнить его полную проверку. Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Triada.231, вылечив зараженный системный компонент. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа ОС от производителя смартфона.