Kupowanie taniego smartfonu od mało znanego producenta, anastępnie używanie go z dostarczoną przez tego producenta wersjąAndroida jest proszeniem się o kłopoty. Skąd właściwie mamywiedzieć, co faktycznie na takim telefonie działa? Z badań firmyDr.Web wynika,że nie tylko nie mamy skąd wiedzieć, ale też i nie wiemy. Conajmniej 42 modele sprzedawanych obecnie niedrogich smartfonówzainfekowane są trojanem zdolnym do atakowania aplikacji bankowych.Są wśród nich modele polskich producentów, sprzedawane przez dużesieci handlowe.
Android.Triada.231 – pod taką nazwą oprogramowanieantywirusowe rozpoznaje bardzo ciekawego trojana, którym nie możnasię przypadkowo zarazić. Jest to bowiem trojan, którego dostajemyw pakiecie wraz z nowo kupionym telefonem z systemem Android.Osadzony w bibliotece libandroid_runtime.so modyfikuje jeden zkluczowych procesów systemowych, Zygote. Jest to proces z któregowyprowadzane są wszystkie inne procesy, by przyspieszyćuruchamianie aplikacji. Kod w nim zawarty może więc zostaćuruchomiony wewnątrz każdej innej androidowej aplikacji.
Napastnik, który zdołałby zainfekować w ten sposób systemoperacyjny telefonu, jest więc jego faktycznym właścicielem –może zdalnie uruchamiać na nim dowolne oprogramowanie, w tym tonajcenniejsze dla cyberprzestępców, tj. spyware wykorzystywane dowykradania informacji niezbędnych do elektronicznej bankowości.
Aktywność trojanów z rodziny Triada obserwuje się już odkilku lat, ale w ostatnich miesiącach zaczęła ona wyraźnierosnąć. Dotyczy to przede wszystkim urządzeń z Chin, częstosprzedawanych pod rodzimymi markami w Europie. Kuszące atrakcyjnąceną przy stosunkowo niezłych parametrach, trafiają do ofertydużych sieci handlowych, by w ten sposób trafić w ręce niespodziewających się żadnego zagrożenia ofiar.
Wygląda na to, że nakłonienie producentów do zainfekowaniaoferowanej wersji Androida nie jest wcale trudne. Dr.Web jakoprzykład przedstawia producenta Leagoo, który wprowadziłTriadę.231 do wielu swoich modeli telefonów na żądanie pewnegopartnera z Szanghaju. Firma ta przygotowała jedną ze swoichaplikacji dla Leagoo, wraz z instrukcjami jak dodać jej rzekomoniezbędny kod do bibliotek systemowych. Producent najwyraźniejnawet nie mrugnął, zgadzając się na wzbogacenie obrazu systemu ozłośliwe oprogramowanie.
Zagrożone modele: czy jesteś ofiarą Triady.231?
Do tej pory zidentyfikowano 42 modele dostępnych obecnie wsprzedaży smartfonów, które zainfekowane są Triadą.231, wrzeczywistości może być ich jednak znacznie więcej. Uważaćpowinni użytkownicy sprzętu następujących producentów i marek:
- Leagoo (M5, M5 Plus, M5 Edge, M8, M8 Pro, Z5C, T1 Plus, Z3C, Z1C,M9)
- ARK (Benefit M8)
- Zopo (Speed 7 Plus)
- UHANS (A101)
- Doogee (X5 Max, X5 Max Pro, Shoot 1, Shoot 2)
- Tecno (W2)
- Homtom (HT16)
- Umi (London)
- Kiano (Elegance 5.1)
- iLife (Fivo Lite)
- Mito (A39)
- Vertex (Impress InTouch 4G, Impress Genius)
- myPhone (Hammer Energy)
- Advan (S5E NXT, S4Z, i5E)
- STF (AERIAL PLUS, JOY PRO)
- Tesla (SP6.2)
- Cubot (Rainbow)
- EXTREME (7)
- Haier (T51)
- Cherry Mobile (Flare S5, Flare J2S, Flare P1)
- NOA (H6)
- Pelitt (T1 PLUS)
- Prestigio (Grace M5 LTE)
- BQ (5510)
Skontaktowaliśmy się z najbardziej znanymi z tych producentówna polskim rynku (w tym Kiano i myPhone) celem ustalenia, co oni otym wiedzą i co zamierzają zrobić, by zaradzić zagrożeniu. Jaktylko się czegoś od nich dowiemy, zaktualizujemy ten materiał.
Mam smartfon z tej listy, co teraz?
Dr.Web zapewnia, że najnowsza wersja jego mobilnegoantywirusa jest w stanie wykryć Triadę.231. Co z usunięciem?Bez uprawnień roota tego nie sposób zrobić. Jeśli nie macie rootana swoim urządzeniu, pomóc może jedynie zwrócenie się doproducenta o udostępnienie w aktualizacji OTA wolnego od malwareobrazu Androida.