Злоумышленники смогли включить «троян» в образ системы в качестве стороннего кода для ряда дополнительных функций, которые запрашивают производители оборудования для Google. В компании отметили, что выявленный факт заражения смартфонов подчеркивает необходимость проверок безопасности системы перед продажей устройства, а также в процессе их обновления по беспроводной сети.

В Google подчеркнули, что компания предоставила производителям оборудования инструкции по устранению существующей угрозы. В результате случаи распространения предустановленных программ семейства Triada удалось сократить. С уже зараженных по беспроводной сети устройств «троян» успешно удалили.

«Случай с Triada – хороший пример того, как авторы вредоносных программ для Android становятся все более искусными. Этот случай также показывает, что заражать устройства Android сложнее, особенно если автору вредоносного ПО требуются повышенные привилегии», — добавили в корпорации.

Сейчас проверка безопасности устройств Google проводится с помощью специального приложения Build Test Suite. Поиском и удалением любых известных версий приложений семейства Triada с устройств пользователей также занимается Google Play Protect.

Какие именно производители устройств подверглись атаке «трояном», в корпорации не уточнили. Однако известно, что впервые предустановленные хакерские программы семейства Triada были обнаружены на Android-смартфонах еще летом 2017 года. Злоумышленники создавали так называемый бэкдор, который позволял получить доступ к данным на устройстве или управлять им удаленно.

История обнаружения

Первой о мобильном «трояне» Triada в начале 2016 года сообщила «Лаборатория Касперского». Тогда вирус называли значительно превосходящим все другие аналогичные программы. Отличительной особенностью «трояна» является его способность внедрять свой код во все установленные на устройстве приложения и менять логику их работы.

«А если учесть тот факт, что зловред тщательно скрывает следы своего присутствия в системе, обнаружить и удалить его не так-то просто. Угроза особенно актуальна для пользователей Android версии 4.4.4 и более ранних», — отмечали в «Лаборатории Касперского».

Triada получала доступ к Android-смартфонам с помощью использования процесса Zygote – общего для всех приложений шаблона. Случай эксплуатирования этого процесса злоумышленниками тогда стал первым задокументированным в истории. Свои модули «троян» скрывает из списка установленных приложений и запущенных сервисов, убирая в системные папки, доступ к которым хакер получает благодаря правам суперпользователя.

В «Лаборатории Касперского» отмечали, что программы семейства Triada используются в том числе для кражи денег в процессе покупки дополнительного контента в приложениях. Это происходит за счет перехвата и модификации платежных СМС-сообщений.

В июле 2017 года «троян» Triada обнаружили аналитики компании Dr.Web. Программа умела скачивать и запускать дополнительные вредоносные модули. Вирусом, в частности, были заражены устройства Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Поскольку внедрение «трояна» происходило на уровне исходного кода, в компании предположили, что к заражению причастны либо инсайдеры, либо недобросовестные поставщики оборудования для устройств.

Другие вирусы

В конце марта 2019 года компания Group-IB, специализирующаяся на расследовании киберпреступлений, выявила новый вирус под названием Gustuff, нацеленный на вывод денежных средств и криптовалюты со счетов пользователей Android-устройств. Под угрозой оказались клиенты с установленными приложениями таких банков, как Bank of America, J.P.Morgan, Wells Fargo, а также криптокошельков Bitcoin Wallet, Cryptopay, Coinbase и других.

Помимо этого вирус был нацелен на пользователей приложений онлайн-магазинов, платежных систем и мессенджеров, в том числе PayPal, eBay, Skype и WhatsApp. Для вывода средств «троян» использовал сервис для людей с ограниченными возможностями под названием Accessibility Service.

В сентябре прошлого года «Лаборатория Касперского» сообщила о выявлении мобильного банковского вируса Roaming Mantis, использующегося для веб-майнинга на iOS-устройствах, при этом изначально вирус атаковал смартфоны на базе операционной системы Android. Основным инструментом вируса являлся сервис криптовалютного майнинга CoinHive.

Источник: текст и фото RNS