Triada: há um backdoor pré-instalado em smartphones Android
8 Junho, 2019Em 2016, a Kaspersky Lab foi alertada sobre um cavalo de Tróia apelidado Triada Android que infecta processos Zygote (usados para o lançamento do processo de aplicação), e fica principalmente na RAM de um dispositivo.
Esse cavalo de Troia modular possuía várias ramificações, incluindo explorações de root, e foi usado primeiro para instalar vários aplicações de spam em smartphones para exibir anúncios.
Numa publicação no seu blog dedicado à segurança, a Google faz um estudo de caso sobre o Triada, e aponta que o reforço das defesas do Google Play Protect contra explorações de root fez com que Triada evoluísse no verão de 2017 em direcção a um backdoor de imagem do sistema.
Por outras palavras, um backdoor pré-instalado em alguns smartphones Android. Não entre em pânico, a Google garante que, no âmbito da cooperação com as fabricantes, imagens do sistema com actualizações de segurança eliminaram Triada.
De qualquer forma, foi a confirmação das descobertas que a editora russa de soluções de segurança do Dr. Web poderia ter feito. No seu estudo sobre este caso, a Google não cita as fabricantes que foram afectadas. É no entanto suficiente ir à publicação da época do Dr. Web onde é mencionado – entre outros – os smartphones Leagoo M5 Plus, Leagoo M8, Nomu S10 e Nomu S20.
Injectado no nível das bibliotecas de software do Android, e na seção do sistema, o backdoor escapou dos métodos usuais de exclusão e foi usado para descarregar e instalar módulos. Segundo a Google, o Triada foi integrado na imagem do sistema como um código de terceiros para recursos adicionais solicitados pelas fabricantes.
” Às vezes, as fabricantes querem incluir recursos que não fazem parte do procjeto Android Open Source, como o Face Unlock. A fabricante pode fazer parceria com terceiros para desenvolver o recurso desejado e enviá-lo ao cliente”.
Um membro da equipa de Segurança e Privacidade do Android, Lukasz Siewierski escreve que a análise traz o nome de um fornecedor usando a identidade de Yehuo ou Blazefire para infecção da imagem do sistema com o Triada. Na sua análise, a Google oferece vários aspectos técnicos que destacam a sofisticação da Triada.
“Se Triada é um bom exemplo de como os autores de malware Android se tornam mais hábeis. Ele também mostra que é mais difícil de infectar dispositivos Android, especialmente se o autor do malware precisar de um a elevação de privilégio “, escreveu a Google que relembra ter implementado um programa que exige as fabricantes de recorrer a construir ferramentas e suites de teste para analisar as imagens do sistema de segurança.
O Google Play Protect também oferece proteção contra o Triada … ou pelo menos nas suas versões conhecidas.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
