Специалисты компании «Доктор Веб» предупредили, что 42 модели бюджетных Android-смартфонов заражены банкером Triada (Android.Triada.231) прямо «из коробки». Еще в июле 2017 года исследователи «Доктор Веб» сообщили о том, что банковский троян семейства Triada был обнаружен в прошивках смартфонов Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Малварь Android.Triada встраивается в системный процесс Zygote, который отвечает за старт программ на мобильных устройствах. За счет заражения Zygote вредонос внедряется в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое. Хотя другие образчики данного семейства, ранее обнаруженные исследователями, пытались получить root-привилегии для выполнения вредоносных операций, троян Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so на уровне исходного кода. В результате вредоносное приложение «поселяется» непосредственно в прошивке инфицированных мобильных устройств уже на этапе производства, то есть пользователи становятся обладателями зараженных смартфонов «из коробки». Теперь эксперты сообщили, что с момента обнаружения вредоносной программы перечень моделей зараженных устройств пополнился и в настоящий момент насчитывает более 40 наименований. Стоит сказать, что компания «Доктор Веб» уведомила о проблеме производителей зараженных устройств еще летом прошлого года, но малварь по-прежнему попадает на новые модели смартфонов. Например, теперь она была найдена на смартфоне Leagoo M9, который был анонсирован в декабре 2017 года. Проведенное расследование показало, что троян попал в прошивку по просьбе партнера Leagoo, неназванной компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкции по внесению стороннего кода в системные библиотеки перед их компиляцией. К сожалению, эта сомнительная просьба не вызвала у производителя подозрений, и троян беспрепятственно проник на смартфоны. Анализ приложения, которое компания-партнер предложила добавить в прошивку Leagoo M9, показал, что оно подписано тем же сертификатом, что и троян Android.MulDrop.924, обнаруженный специалистами в 2016 году. Теперь эксперты полагают, что разработчик, попросивший внести дополнительную программу в образ операционной системы, может быть прямо или косвенно причастен к распространению Android.Triada.231. В настоящее время банкер был обнаружен в прошивке следующих смартфонов: Leagoo M5 Leagoo M5 Plus Leagoo M5 Edge Leagoo M8 Leagoo M8 Pro Leagoo Z5C Leagoo T1 Plus Leagoo Z3C Leagoo Z1C Leagoo M9 ARK Benefit M8 Zopo Speed 7 Plus UHANS A101 Doogee X5 Max Doogee X5 Max Pro Doogee Shoot 1 Doogee Shoot 2 Tecno W2 Homtom HT16 Umi London Kiano Elegance 5.1 iLife Fivo Lite Mito A39 Vertex Impress InTouch 4G Vertex Impress Genius myPhone Hammer Energy Advan S5E NXT Advan S4Z Advan i5E STF AERIAL PLUS STF JOY PRO Tesla SP6.2 Cubot Rainbow EXTREME 7 Haier T51 Cherry Mobile Flare S5 Cherry Mobile Flare J2S Cherry Mobile Flare P1 NOA H6 Pelitt T1 PLUS Prestigio Grace M5 LTE BQ 5510 При этом эксперты предупреждают, что этот список не является окончательным, и перечень инфицированных моделей смартфонов может оказаться гораздо шире. Зараженные банкером устройства продают в России, Польше, Индонезии, Китае, Мексике, Казахстане, Сербии. Исследователи резюмируют, что такое широкое распространение трояна говорит о том, что многие производители Android-устройств уделяют слишком мало внимания вопросам безопасности, и внедрение троянского кода в системные компоненты из-за ошибок или злого умысла может быть весьма распространенной практикой. Источник новости - google.com