Bankowy trojan na popularnych smartfonach, także „polskich”

Aktualizacja Skontaktował się z nami producent smartfonów myPhone (w tym wspomnianego niżej modelu Hammer), deklarując, że zagrożenie nie dotyczy jego sprzętu. Zapewniamy, że urządzenia HAMMER Energy, które posiadają użytkownicy – zarówno te z systemem Android 6.0, jak i 7.0 (także te dostępne w sieciach PLAY i T-Mobile) są dziś wolne od wszelkich wirusów. Jednocześnie przyznajemy – w 2016 roku, po premierze modelu HAMMER Energy z systemem w wersji Android 6.0, zarejestrowaliśmy egzemplarze z infekcją. Udało nam się ją szybko i całkowicie wyeliminować oraz udostępnić naszym użytkownikom wygodną aktualizację poprzez OTA. Od początku 2017 roku nie odnotowaliśmy zgłoszeń od użytkowników dotyczących infekcji systemu. W efekcie informacja, na którą powołują się dziś media jest nieaktualna i nieprawdziwa. (...) Od 3 lat współpracujemy z Google rozwijając system Android. Od 2016 roku jesteśmy partnerem MADA - Mobile Application Distribution Agreement. Dzięki spełnianiu wymogów autorów Androida wszystkie modele naszych smartfonów posiadają bezpieczny, czysty i certyfikowany system oraz legalny i oficjalny dostęp do wszelkich funkcjonalności np. sklepu Google Play z tysiącami aplikacji.

Kupowanie taniego smartfonu od mało znanego producenta, anastępnie używanie go z dostarczoną przez tego producenta wersjąAndroida jest proszeniem się o kłopoty. Skąd właściwie mamywiedzieć, co faktycznie na takim telefonie działa? Z badań firmyDr.Web wynika,że nie tylko nie mamy skąd wiedzieć, ale też i nie wiemy. Conajmniej 42 modele sprzedawanych obecnie niedrogich smartfonówzainfekowane są trojanem zdolnym do atakowania aplikacji bankowych.Są wśród nich modele polskich producentów, sprzedawane przez dużesieci handlowe.

Android.Triada.231 – pod taką nazwą oprogramowanieantywirusowe rozpoznaje bardzo ciekawego trojana, którym nie możnasię przypadkowo zarazić. Jest to bowiem trojan, którego dostajemyw pakiecie wraz z nowo kupionym telefonem z systemem Android.Osadzony w bibliotece libandroid_runtime.so modyfikuje jeden zkluczowych procesów systemowych, Zygote. Jest to proces z któregowyprowadzane są wszystkie inne procesy, by przyspieszyćuruchamianie aplikacji. Kod w nim zawarty może więc zostaćuruchomiony wewnątrz każdej innej androidowej aplikacji.

Napastnik, który zdołałby zainfekować w ten sposób systemoperacyjny telefonu, jest więc jego faktycznym właścicielem –może zdalnie uruchamiać na nim dowolne oprogramowanie, w tym tonajcenniejsze dla cyberprzestępców, tj. spyware wykorzystywane dowykradania informacji niezbędnych do elektronicznej bankowości.

Aktywność trojanów z rodziny Triada obserwuje się już odkilku lat, ale w ostatnich miesiącach zaczęła ona wyraźnierosnąć. Dotyczy to przede wszystkim urządzeń z Chin, częstosprzedawanych pod rodzimymi markami w Europie. Kuszące atrakcyjnąceną przy stosunkowo niezłych parametrach, trafiają do ofertydużych sieci handlowych, by w ten sposób trafić w ręce niespodziewających się żadnego zagrożenia ofiar.

Wygląda na to, że nakłonienie producentów do zainfekowaniaoferowanej wersji Androida nie jest wcale trudne. Dr.Web jakoprzykład przedstawia producenta Leagoo, który wprowadziłTriadę.231 do wielu swoich modeli telefonów na żądanie pewnegopartnera z Szanghaju. Firma ta przygotowała jedną ze swoichaplikacji dla Leagoo, wraz z instrukcjami jak dodać jej rzekomoniezbędny kod do bibliotek systemowych. Producent najwyraźniejnawet nie mrugnął, zgadzając się na wzbogacenie obrazu systemu ozłośliwe oprogramowanie.

Do tej pory zidentyfikowano 42 modele dostępnych obecnie wsprzedaży smartfonów, które zainfekowane są Triadą.231, wrzeczywistości może być ich jednak znacznie więcej. Uważaćpowinni użytkownicy sprzętu następujących producentów i marek:

• Leagoo (M5, M5 Plus, M5 Edge, M8, M8 Pro, Z5C, T1 Plus, Z3C, Z1C,M9)
• ARK (Benefit M8)
• Zopo (Speed 7 Plus)
• UHANS (A101)
• Doogee (X5 Max, X5 Max Pro, Shoot 1, Shoot 2)
• Tecno (W2)
• Homtom (HT16)
• Umi (London)
• Kiano (Elegance 5.1)
• iLife (Fivo Lite)
• Mito (A39)
• Vertex (Impress InTouch 4G, Impress Genius)
• myPhone (Hammer Energy)
• Advan (S5E NXT, S4Z, i5E)
• STF (AERIAL PLUS, JOY PRO)
• Tesla (SP6.2)
• Cubot (Rainbow)
• EXTREME (7)
• Haier (T51)
• Cherry Mobile (Flare S5, Flare J2S, Flare P1)
• NOA (H6)
• Pelitt (T1 PLUS)
• Prestigio (Grace M5 LTE)
• BQ (5510)

Skontaktowaliśmy się z najbardziej znanymi z tych producentówna polskim rynku (w tym Kiano i myPhone) celem ustalenia, co oni otym wiedzą i co zamierzają zrobić, by zaradzić zagrożeniu. Jaktylko się czegoś od nich dowiemy, zaktualizujemy ten materiał.

Dr.Web zapewnia, że najnowsza wersja jego mobilnegoantywirusa jest w stanie wykryć Triadę.231. Co z usunięciem?Bez uprawnień roota tego nie sposób zrobić. Jeśli nie macie rootana swoim urządzeniu, pomóc może jedynie zwrócenie się doproducenta o udostępnienie w aktualizacji OTA wolnego od malwareobrazu Androida.