Google conferma che su alcuni dispositivi Android è preinstallato Backdoor

Google rivela che le backdoor di Triada erano preinstallate su alcuni dispositivi Android

Google ha recentemente confermato che alcuni telefoni Android sono stati inconsapevolmente infettati da malware dai produttori di smartphone ancor prima di essere spediti ai clienti.

In un dettagliato post di studio, Google ha spiegato come alcuni hacker siano riusciti a mettere Triada, un malware progettato per installare app di spam su un dispositivo che visualizza annunci, su dispositivi Android manipolando il software preinstallato. I creatori di Triada hanno raccolto entrate dagli annunci visualizzati dalle app di spam.

“Triada infetta le immagini del sistema del dispositivo tramite una terza parte durante il processo di produzione. A volte gli OEM vogliono includere funzionalità che non fanno parte del progetto open source Android, come lo sblocco con il volto.

L’OEM potrebbe collaborare con una terza parte in grado di sviluppare la funzione desiderata e inviare l’immagine completa del sistema a quel fornitore per lo sviluppo… In base all’analisi, riteniamo che un fornitore che utilizza il nome Yehuo o Blazefire abbia infettato l’immagine di sistema restituita con Triada”, ha scritto Lukasz Siewierski del team di sicurezza e privacy di Android, in un post sul blog.

La “famiglia Triad” di Trojan è stata scoperta per la prima volta dai ricercatori di sicurezza di Kaspersky Labs, descritti in un post sul blog sul tuo sito web a marzo 2016 e poi in un post sul blog di follow-up nel giugno 2016.

All’epoca, era noto come un trojan rooting progettato per sfruttare l’hardware dopo aver ottenuto privilegi elevati. Dopo aver appreso di Triada nel 2016, Google ha implementato il rilevamento tramite Play Protect per rimuovere i campioni di Triada da tutti i dispositivi.

leggere  Facebook dovrà affrontare una class action per il suo strumento di riconoscimento facciale

Tuttavia, gli attori malintenzionati dietro il malware hanno adottato un altro approccio insolito, rilasciando una versione più intelligente del Trojan nell’estate del 2017, che è stata scoperta dal fornitore di antimalware. Dr. Web nel luglio 2017.

“Durante l’estate 2017 abbiamo notato un cambiamento nei nuovi campioni Triada. Invece di eseguire il rooting del dispositivo per ottenere privilegi elevati, Triada si è evoluto per diventare una backdoor del framework Android preinstallato.

Le modifiche a Triada includevano una chiamata aggiuntiva nella funzione di registrazione del framework Android, mostrata di seguito con una stringa di configurazione evidenziata “, ha aggiunto Siewierski.

“Quando si utilizza la backdoor della funzione di registrazione, il codice aggiuntivo viene eseguito ogni volta che viene chiamato il metodo di registrazione (ovvero, ogni volta che un’applicazione sul telefono tenta di registrare qualcosa). Questi tentativi di registrazione si verificano molte volte al secondo, quindi il codice aggiuntivo viene eseguito senza interruzioni. Il codice aggiuntivo viene eseguito anche nel contesto dell’applicazione che registra un messaggio, quindi Triada può eseguire il codice in qualsiasi contesto dell’applicazione.

Il framework di iniezione del codice nelle prime versioni di Triada funzionava su versioni di Android precedenti a Marshmallow.”

Tuttavia, il fattore più preoccupante è che non è stato possibile rimuoverlo utilizzando metodi standard. “L’unico metodo sicuro per sbarazzarsi di questo Trojan è installare un firmware Android pulito”, ha scritto Dr. Web nel suo post sul blog.

Secondo il rapporto di Dr. Web, sono stati rilevati diversi dispositivi Android con la versione modificata di Triada, inclusi dispositivi come Leagoo M5 Plus, Leagoo M8, Nomu S10 e Nomu S20. Sebbene Google non abbia rivelato i dispositivi mobili infettati dal malware, ha confermato il rapporto di Dr. Web nel suo post sul blog.

leggere  La candela high-tech LuDela può essere controllata dal tuo smartphone

Da allora, Google si è coordinato con gli OEM interessati (Original Equipment Manufacturers) per fornire aggiornamenti di sistema e rimuovere le tracce della variante Triada e chiudere la porta sul retro tramite aggiornamenti OTA (over the air).

Google offre anche agli OEM un sistema automatizzato chiamato “Build Test Suite”, che esegue la scansione delle immagini di sistema alla ricerca di malware come Triada e minacce simili su tutti i dispositivi Android. Inoltre, il gigante della ricerca ha chiesto agli OEM di condurre una revisione della sicurezza dei dispositivi sulla sua rete per rilevare tutto il codice di terze parti e monitorare eventuali attività sospette. Inoltre, Google valuterà periodicamente i dispositivi già sul mercato per gli attacchi alla catena di approvvigionamento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *