Bankowy trojan na popularnych smartfonach, także „polskich”

Strona główna Aktualności
Wirus na smartfonie z depositphotos
Wirus na smartfonie z depositphotos

O autorze

Aktualizacja

Skontaktował się z nami producent smartfonów myPhone (w tym wspomnianego niżej modelu Hammer), deklarując, że zagrożenie nie dotyczy jego sprzętu.

Zapewniamy, że urządzenia HAMMER Energy, które posiadają użytkownicy – zarówno te z systemem Android 6.0, jak i 7.0 (także te dostępne w sieciach PLAY i T-Mobile) są dziś wolne od wszelkich wirusów.


Jednocześnie przyznajemy – w 2016 roku, po premierze modelu HAMMER Energy z systemem w wersji Android 6.0, zarejestrowaliśmy egzemplarze z infekcją. Udało nam się ją szybko i całkowicie wyeliminować oraz udostępnić naszym użytkownikom wygodną aktualizację poprzez OTA. Od początku 2017 roku nie odnotowaliśmy zgłoszeń od użytkowników dotyczących infekcji systemu. W efekcie informacja, na którą powołują się dziś media jest nieaktualna i nieprawdziwa. (...)

Od 3 lat współpracujemy z Google rozwijając system Android. Od 2016 roku jesteśmy partnerem MADA - Mobile Application Distribution Agreement. Dzięki spełnianiu wymogów autorów Androida wszystkie modele naszych smartfonów posiadają bezpieczny, czysty i certyfikowany system oraz legalny i oficjalny dostęp do wszelkich funkcjonalności np. sklepu Google Play z tysiącami aplikacji.

Kupowanie taniego smartfonu od mało znanego producenta, a następnie używanie go z dostarczoną przez tego producenta wersją Androida jest proszeniem się o kłopoty. Skąd właściwie mamy wiedzieć, co faktycznie na takim telefonie działa? Z badań firmy Dr.Web wynika, że nie tylko nie mamy skąd wiedzieć, ale też i nie wiemy. Co najmniej 42 modele sprzedawanych obecnie niedrogich smartfonów zainfekowane są trojanem zdolnym do atakowania aplikacji bankowych. Są wśród nich modele polskich producentów, sprzedawane przez duże sieci handlowe.

Android.Triada.231 – pod taką nazwą oprogramowanie antywirusowe rozpoznaje bardzo ciekawego trojana, którym nie można się przypadkowo zarazić. Jest to bowiem trojan, którego dostajemy w pakiecie wraz z nowo kupionym telefonem z systemem Android. Osadzony w bibliotece libandroid_runtime.so modyfikuje jeden z kluczowych procesów systemowych, Zygote. Jest to proces z którego wyprowadzane są wszystkie inne procesy, by przyspieszyć uruchamianie aplikacji. Kod w nim zawarty może więc zostać uruchomiony wewnątrz każdej innej androidowej aplikacji.

Napastnik, który zdołałby zainfekować w ten sposób system operacyjny telefonu, jest więc jego faktycznym właścicielem – może zdalnie uruchamiać na nim dowolne oprogramowanie, w tym to najcenniejsze dla cyberprzestępców, tj. spyware wykorzystywane do wykradania informacji niezbędnych do elektronicznej bankowości.

Aktywność trojanów z rodziny Triada obserwuje się już od kilku lat, ale w ostatnich miesiącach zaczęła ona wyraźnie rosnąć. Dotyczy to przede wszystkim urządzeń z Chin, często sprzedawanych pod rodzimymi markami w Europie. Kuszące atrakcyjną ceną przy stosunkowo niezłych parametrach, trafiają do oferty dużych sieci handlowych, by w ten sposób trafić w ręce nie spodziewających się żadnego zagrożenia ofiar.

Wygląda na to, że nakłonienie producentów do zainfekowania oferowanej wersji Androida nie jest wcale trudne. Dr.Web jako przykład przedstawia producenta Leagoo, który wprowadził Triadę.231 do wielu swoich modeli telefonów na żądanie pewnego partnera z Szanghaju. Firma ta przygotowała jedną ze swoich aplikacji dla Leagoo, wraz z instrukcjami jak dodać jej rzekomo niezbędny kod do bibliotek systemowych. Producent najwyraźniej nawet nie mrugnął, zgadzając się na wzbogacenie obrazu systemu o złośliwe oprogramowanie.

Zagrożone modele: czy jesteś ofiarą Triady.231?

Do tej pory zidentyfikowano 42 modele dostępnych obecnie w sprzedaży smartfonów, które zainfekowane są Triadą.231, w rzeczywistości może być ich jednak znacznie więcej. Uważać powinni użytkownicy sprzętu następujących producentów i marek:

  • Leagoo (M5, M5 Plus, M5 Edge, M8, M8 Pro, Z5C, T1 Plus, Z3C, Z1C, M9)
  • ARK (Benefit M8)
  • Zopo (Speed 7 Plus)
  • UHANS (A101)
  • Doogee (X5 Max, X5 Max Pro, Shoot 1, Shoot 2)
  • Tecno (W2)
  • Homtom (HT16)
  • Umi (London)
  • Kiano (Elegance 5.1)
  • iLife (Fivo Lite)
  • Mito (A39)
  • Vertex (Impress InTouch 4G, Impress Genius)
  • myPhone (Hammer Energy)
  • Advan (S5E NXT, S4Z, i5E)
  • STF (AERIAL PLUS, JOY PRO)
  • Tesla (SP6.2)
  • Cubot (Rainbow)
  • EXTREME (7)
  • Haier (T51)
  • Cherry Mobile (Flare S5, Flare J2S, Flare P1)
  • NOA (H6)
  • Pelitt (T1 PLUS)
  • Prestigio (Grace M5 LTE)
  • BQ (5510)

Skontaktowaliśmy się z najbardziej znanymi z tych producentów na polskim rynku (w tym Kiano i myPhone) celem ustalenia, co oni o tym wiedzą i co zamierzają zrobić, by zaradzić zagrożeniu. Jak tylko się czegoś od nich dowiemy, zaktualizujemy ten materiał.

Mam smartfon z tej listy, co teraz?

Dr.Web zapewnia, że najnowsza wersja jego mobilnego antywirusa jest w stanie wykryć Triadę.231. Co z usunięciem? Bez uprawnień roota tego nie sposób zrobić. Jeśli nie macie roota na swoim urządzeniu, pomóc może jedynie zwrócenie się do producenta o udostępnienie w aktualizacji OTA wolnego od malware obrazu Androida.

© dobreprogramy
s