Em meados de 2017, os analistas da Doctor Web descobriram um novo Trojan Android.Triada.231 no firmware de alguns modelos baratos de dispositivos Android. Desde essa detecção, a lista de dispositivos infectados tem aumentado constantemente. No momento, a lista contém mais de 40 modelos. Médicos especialistas da Web monitoraram a atividade do Trojan e agora podemos publicar os resultados desta investigação.
Android.Triada.231 - um dos perigosos android.Triada Trojans. Estes troianos contaminam o processo de um importante componente do sistema Android, o Zygote. Esse processo é usado para iniciar todos os aplicativos. Uma vez que os trojans injetaram nesse módulo, eles penetram em outras aplicações em execução. Ao fazê-lo, eles obtêm a capacidade de realizar várias atividades mal-intencionadas sem a intervenção de um usuário: descarregam e lançam o software de forma secreta. A característica principal do Android.Triada.231 é que os cibercriminosos injetam este Trojan na biblioteca do sistema libandroid_runtime.so. Eles não distribuem o Trojan como um programa separado. Como resultado, a aplicação maliciosa penetra no firmware do dispositivo durante o fabrico. Os usuários recebem seus dispositivos já infectados da caixa.
No verão passado, após a detecção do Android.Triada.231, os pesquisadores de segurança da Doctor Web notificaram os fabricantes que produziram dispositivos infectados. No entanto, os novos modelos de smartphones continuam infectados com este malware. Por exemplo, foi detectado no smartphone Leagoo M9 que foi anunciado em dezembro de 2017. Além disso, a pesquisa de nossos analistas mostrou que a penetração do troiano em firmware aconteceu a pedido do parceiro Leagoo, o desenvolvedor de software de Xangai. Esta empresa forneceu ao Leagoo uma das suas aplicações para ser incluída em uma imagem do sistema operacional móvel, bem como com uma instrução para adicionar código de terceiros nas bibliotecas do sistema antes de sua compilação. Infelizmente, este pedido controverso não provocou qualquer suspeita do fabricante. Em última análise, o Android.Triada.231 chegou aos smartphones sem obstáculos.
A análise deste aplicativo mostrou que ele foi assinado com o mesmo certificado que o Android.MulDrop.924. Doctor Web anteriormente escreveu sobre este Trojan em 2016. Podemos presumir que o desenvolvedor que solicitou a adição do programa adicional à imagem do sistema operacional móvel pode ser conectado expressa ou implicitamente com a distribuição do Android.Triada.231.
No momento, pesquisadores de segurança detectaram o Android.Triada.231 no firmware de mais de 40 modelos de dispositivos Android:
Leagoo M5
Leagoo M5 Plus
Leagoo M5 Edge
Leagoo M8
Leagoo M8 Pro
Leagoo Z5C
Leagoo T1 Plus
Leagoo Z3C
Leagoo Z1C
Leagoo M9
ARK Benefit M8
Zopo Speed 7 Plus
UHANS A101
Doogee X5 Max
Doogee X5 Max Pro
Doogee Shoot 1
Doogee Shoot 2
Tecno W2
Homtom HT16
Umi London
Kiano Elegance 5.1
iLife Fivo Lite
Mito A39
Vertex Impress InTouch 4G
Vertex Impress Genius
myPhone Hammer Energy
Advan S5E NXT
Advan S4Z
Advan i5E
STF AERIAL PLUS
STF JOY PRO
Tesla SP6.2
Cubot Rainbow
EXTREME 7
Haier T51
Cherry Mobile Flare S5
Cherry Mobile Flare J2S
Cherry Mobile Flare P1
NOA H6
Pelitt T1 PLUS
Prestigio Grace M5 LTE
BQ 5510
Essa não é uma lista compreensiva. O número de modelos de smartphones infectados pode ser muito maior.
Essa distribuição generalizada do Android.Triada.231 mostra que muitos fabricantes de dispositivos Android prestam pouca atenção às questões de segurança e à penetração do código de Trojan em componentes do sistema. Isso pode ser devido a erro ou intenção maliciosa e provavelmente é uma prática comum.
Dr.Web para Android detecta todas as modificações possíveis no Android.Triada.231. Para descobrir se o seu dispositivo móvel está infectado, digitalize-o completamente. Com privilégios de root, o Dr.Web Security Space para Android pode neutralizar o Android.Triada.231 curando um componente de sistema infectado. Se os privilégios de root não estiverem disponíveis no dispositivo, você pode remover este malware instalando uma imagem limpa do sistema operacional. Entre em contato com o fabricante do dispositivo para receber a imagem limpa.
Android.Triada.231 - um dos perigosos android.Triada Trojans. Estes troianos contaminam o processo de um importante componente do sistema Android, o Zygote. Esse processo é usado para iniciar todos os aplicativos. Uma vez que os trojans injetaram nesse módulo, eles penetram em outras aplicações em execução. Ao fazê-lo, eles obtêm a capacidade de realizar várias atividades mal-intencionadas sem a intervenção de um usuário: descarregam e lançam o software de forma secreta. A característica principal do Android.Triada.231 é que os cibercriminosos injetam este Trojan na biblioteca do sistema libandroid_runtime.so. Eles não distribuem o Trojan como um programa separado. Como resultado, a aplicação maliciosa penetra no firmware do dispositivo durante o fabrico. Os usuários recebem seus dispositivos já infectados da caixa.
No verão passado, após a detecção do Android.Triada.231, os pesquisadores de segurança da Doctor Web notificaram os fabricantes que produziram dispositivos infectados. No entanto, os novos modelos de smartphones continuam infectados com este malware. Por exemplo, foi detectado no smartphone Leagoo M9 que foi anunciado em dezembro de 2017. Além disso, a pesquisa de nossos analistas mostrou que a penetração do troiano em firmware aconteceu a pedido do parceiro Leagoo, o desenvolvedor de software de Xangai. Esta empresa forneceu ao Leagoo uma das suas aplicações para ser incluída em uma imagem do sistema operacional móvel, bem como com uma instrução para adicionar código de terceiros nas bibliotecas do sistema antes de sua compilação. Infelizmente, este pedido controverso não provocou qualquer suspeita do fabricante. Em última análise, o Android.Triada.231 chegou aos smartphones sem obstáculos.
A análise deste aplicativo mostrou que ele foi assinado com o mesmo certificado que o Android.MulDrop.924. Doctor Web anteriormente escreveu sobre este Trojan em 2016. Podemos presumir que o desenvolvedor que solicitou a adição do programa adicional à imagem do sistema operacional móvel pode ser conectado expressa ou implicitamente com a distribuição do Android.Triada.231.
No momento, pesquisadores de segurança detectaram o Android.Triada.231 no firmware de mais de 40 modelos de dispositivos Android:
Leagoo M5
Leagoo M5 Plus
Leagoo M5 Edge
Leagoo M8
Leagoo M8 Pro
Leagoo Z5C
Leagoo T1 Plus
Leagoo Z3C
Leagoo Z1C
Leagoo M9
ARK Benefit M8
Zopo Speed 7 Plus
UHANS A101
Doogee X5 Max
Doogee X5 Max Pro
Doogee Shoot 1
Doogee Shoot 2
Tecno W2
Homtom HT16
Umi London
Kiano Elegance 5.1
iLife Fivo Lite
Mito A39
Vertex Impress InTouch 4G
Vertex Impress Genius
myPhone Hammer Energy
Advan S5E NXT
Advan S4Z
Advan i5E
STF AERIAL PLUS
STF JOY PRO
Tesla SP6.2
Cubot Rainbow
EXTREME 7
Haier T51
Cherry Mobile Flare S5
Cherry Mobile Flare J2S
Cherry Mobile Flare P1
NOA H6
Pelitt T1 PLUS
Prestigio Grace M5 LTE
BQ 5510
Essa não é uma lista compreensiva. O número de modelos de smartphones infectados pode ser muito maior.
Essa distribuição generalizada do Android.Triada.231 mostra que muitos fabricantes de dispositivos Android prestam pouca atenção às questões de segurança e à penetração do código de Trojan em componentes do sistema. Isso pode ser devido a erro ou intenção maliciosa e provavelmente é uma prática comum.
Dr.Web para Android detecta todas as modificações possíveis no Android.Triada.231. Para descobrir se o seu dispositivo móvel está infectado, digitalize-o completamente. Com privilégios de root, o Dr.Web Security Space para Android pode neutralizar o Android.Triada.231 curando um componente de sistema infectado. Se os privilégios de root não estiverem disponíveis no dispositivo, você pode remover este malware instalando uma imagem limpa do sistema operacional. Entre em contato com o fabricante do dispositivo para receber a imagem limpa.
