Bezpečnostní pracovníci antivirové společnosti Dr.Web zjistili, že 42 modelů levných smartphonů Android je dodáváno s androidovým bankovním malwarem Android.Triada.231.
„V polovině roku 2017 analytici Dr.Web objevili nový trojan Android.Triada.231 ve firmwaru některých levných modelů zařízení Android. Od této detekce se seznam infikovaných zařízení neustále zvyšuje.“ uvádí blogový příspěvek publikovaný společností Dr.Web. „V současné době obsahuje seznam více než 40 modelů. Odborníci z Dr.Web sledovali činnost trojského koně a nyní můžeme zveřejnit výsledky tohoto vyšetřování. “
Triada Trojan byl poprvé zaznamenán v roce 2016 výzkumníky společnosti Kaspersky Lab, kteří ho považovali za nejpokročilejší mobilní hrozbu k datu objevu.
Trojan byl navržen s konkrétním záměrem provádět finanční podvody, typicky únosy finančních SMS transakcí. Nejzajímavějším charakterem Triada Trojan je jeho modulární architektura, která teoreticky poskytuje širokou škálu schopností.
Triada Trojan využívá výchozího procesu Zygote k implementaci svého kódu v kontextu veškerého softwaru na zařízení, což znamená, že hrozba je schopná se spustit v každé aplikaci.
Jediný způsob, jak hrozbu odstranit, je vymazání smartphonu a přeinstalování operačního systému.
Výzkumníci z Dr.Web objevili Triada Trojan, který byl na nově dodávaných zařízeních předinstalován výrobci několik drobných značek, mezi něž patří Advan, Cherry Mobile, Doogee a Leagoo.
Není to poprvé, co společnost objevila předinstalovaný malware na zařízení Android. V červenci 2017 pracovníci z Dr.Web zjistili, že mnoho modelů smartphonů, jako Leagoo M5 Plus, Leagoo M8, Nomu S10 a Nomu S20, bylo dodáno s obávaným trojanem Triada.
Vědci z Dr.Web, kteří objevili tento problém, zjistili, že za infekci byl zodpovědný vývojář softwaru z Šanghaje.
„Například to bylo zjištěno na smartphonu Leagoo M9, který byl oznámen v prosinci 2017. Navíc průzkum našich analytiků ukázal, že Trojan pronikl do firmwaru na požádání partnera Leagoo, vývojáře softwaru z Šanghaje.“ pokračuje blogový příspěvěk.
„Tato společnost poskytla společnosti Leagoo jednu ze svých aplikací jako součást obrazu mobilního operačního systému, a také s instrukcí k přidání kódu třetí strany do systémových knihoven před jejich kompilací. Bohužel tato kontroverzní žádost nevyvolala žádné podezření od výrobce. Nakonec se Android.Triada.231 dostal na smartphony bez jakýchkoliv překážek. “
Infikovaná aplikace nalezená v zařízení byla vyvinuta čínskou firmou, odborníci zdůraznili, že kód byl podepsán stejným certifikátem, který byl pozorován u infekcí v roce 2016.
„Analýza této aplikace ukázala, že je podepsána stejným certifikátem jako Android.MulDrop.924. Dr.Web napsal o tomto trojanovi v roce 2016. Můžeme předpokládat, že vývojář, který požadoval přidání dalšího programu do mobilního operačního systému, může být výslovně nebo implicitně spojen s distribucí Android.Triada.231.“ pokračuje Dr.Web.
V současné době experti potvrdili, že detekovali Android.Triada.231 ve firmwaru následujících modelů zařízení Android:
Leagoo M5
Leagoo M5 Plus
Leagoo M5 Edge
Leagoo M8
Leagoo M8 Pro
Leagoo Z5C
Leagoo T1 Plus
Leagoo Z3C
Leagoo Z1C
Leagoo M9
ARK Benefit M8
Zopo Speed 7 Plus
UHANS A101
Doogee X5 Max
Doogee X5 Max Pro
Doogee Shoot 1
Doogee Shoot 2
Tecno W2
Homtom HT16
Umi Londýn
Kiano Elegance 5.1
iLife Fivo Lite
Mito A39
Vertex Impress InTouch 4G
Vertex Impress Genius
myPhone Hammer Energy
Advan S5E NXT
Advan S4Z
Advan i5E
STF AERIAL PLUS
STF JOY PRO
Tesla SP6.2
Cubot Rainbow
EXTREME 7
Haier T51
Cherry Mobile Flare S5
Cherry Mobile Flare J2S
Cherry Mobile Flare P1
NOA H6
Pelitt T1 PLUS
Prestigio Grace M5 LTE
BQ 5510
Zdroj: securityaffairs.co
