Банковский троян Triada обнаружен в 42 моделях бюджетных Android-смартфонов - «Новости»

Специалисты компании «Доктор Веб» предупредили, что 42 модели бюджетных Android-смартфонов заражены банкером Triada (Android.Triada.231) прямо «из коробки».

Еще в июле 2017 года исследователи «Доктор Веб» сообщили о том, что банковский троян семейства Triada был обнаружен в прошивках смартфонов Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Малварь Android.Triada встраивается в системный процесс Zygote, который отвечает за старт программ на мобильных устройствах. За счет заражения Zygote вредонос внедряется в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое.

Хотя другие образчики данного семейства, ранее обнаруженные исследователями, пытались получить root-привилегии для выполнения вредоносных операций, троян Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so на уровне исходного кода. В результате вредоносное приложение «поселяется» непосредственно в прошивке инфицированных мобильных устройств уже на этапе производства, то есть пользователи становятся обладателями зараженных смартфонов «из коробки».

Теперь эксперты сообщили, что с момента обнаружения вредоносной программы перечень моделей зараженных устройств пополнился и в настоящий момент насчитывает более 40 наименований. Стоит сказать, что  компания «Доктор Веб» уведомила о проблеме производителей зараженных устройств еще летом прошлого года, но малварь по-прежнему попадает на новые модели смартфонов. Например, теперь она была найдена на смартфоне Leagoo M9, который был анонсирован в декабре 2017 года.

Проведенное расследование показало, что троян попал в прошивку по просьбе партнера Leagoo, неназванной компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкции по внесению стороннего кода в системные библиотеки перед их компиляцией. К сожалению, эта сомнительная просьба не вызвала у производителя подозрений, и троян беспрепятственно проник на смартфоны.

Анализ приложения, которое компания-партнер предложила добавить в прошивку Leagoo M9, показал, что оно подписано тем же сертификатом, что и троян Android.MulDrop.924, обнаруженный специалистами в 2016 году. Теперь эксперты полагают, что разработчик, попросивший внести дополнительную программу в образ операционной системы, может быть прямо или косвенно причастен к распространению Android.Triada.231.

В настоящее время банкер был обнаружен в прошивке следующих смартфонов:

• Leagoo M5


• Leagoo M5 Plus


• Leagoo M5 Edge


• Leagoo M8


• Leagoo M8 Pro


• Leagoo Z5C


• Leagoo T1 Plus


• Leagoo Z3C


• Leagoo Z1C


• Leagoo M9


• ARK Benefit M8


• Zopo Speed 7 Plus


• UHANS A101


• Doogee X5 Max


• Doogee X5 Max Pro


• Doogee Shoot 1


• Doogee Shoot 2


• Tecno W2


• Homtom HT16


• Umi London


• Kiano Elegance 5.1


• iLife Fivo Lite


• Mito A39


• Vertex Impress InTouch 4G


• Vertex Impress Genius


• myPhone Hammer Energy


• Advan S5E NXT


• Advan S4Z


• Advan i5E


• STF AERIAL PLUS


• STF JOY PRO


• Tesla SP6.2


• Cubot Rainbow


• EXTREME 7


• Haier T51


• Cherry Mobile Flare S5


• Cherry Mobile Flare J2S


• Cherry Mobile Flare P1


• NOA H6


• Pelitt T1 PLUS


• Prestigio Grace M5 LTE


• BQ 5510

При этом эксперты предупреждают, что этот список не является окончательным, и перечень инфицированных моделей смартфонов может оказаться гораздо шире. Зараженные банкером устройства продают в России, Польше, Индонезии, Китае, Мексике, Казахстане, Сербии.

Исследователи резюмируют, что такое широкое распространение трояна говорит о том, что многие производители Android-устройств уделяют слишком мало внимания вопросам безопасности, и внедрение троянского кода в системные компоненты из-за ошибок или злого умысла может быть весьма распространенной практикой.