Опасность inside: китайские смартфоны снова оказались заражены «трояном»

Специалистами «Доктора Веба» в ходе штатной проверки прошивок мобильных устройств было выявлено наличие в предустановленной операционной системе Android кода троянской программы класса Triada. Заражение в заводском коде обнаружено на ряде моделей китайских производителей Nomu и Leagoo. Данный тип вредоносов внедряется в системные процессы Zygote, отвечающие за запуск приложений в Android, и таким образом оказывается встроенным во все запущенные приложения и сервисы на мобильном устройстве — работая «внутри» штатных программ, malware имеет все разрешения и допуски родительского процесса.

«Улучшенная» версия

В отличие от более старших представителей семейства, новый модифицированный образец троянского кода не нуждается в опосредованном получении административных прав на устройстве, поскольку изначально внедрён в системной библиотеке libandroid_runtime, участвующей в запуске всех процессов на устройстве. Благодаря этому уровень угрозы, установленный для данного вредоносного кода максимальный — троян в состоянии полностью контролировать и управлять устройством.

Враг внутри

Наличие вредоносного кода непосредственно в заводской прошивке операционной системы, по мнению всех без исключения специалистов, говорит о непосредственном участии в распространении malware сотрудников компании-производителя или же её партнёров, участвовавших в разработке кода ОС устройств.

Android.Triada.231 выполняет роль «стартера», то есть кода для запуска других произвольных вредоносов на устройстве, в том числе загружая вирусы из сети. Такая схема позволяет запустить практически любой вредоносный код на устройстве и управлять любым процессом: кража персональных данных, считывание банковских реквизитов для оплаты, шпионские модули, сканирование контактов в Контактах и социальных сетях, перехват в реальном времени разговоров и переписки — далеко не полный список возможной сферы применения схемы.

Пути нейтрализации

На данный момент не существует средств для обезвреживания заражения без полной перепрошивки устройства с такой проблемой — обновления «по воздуху» и даже устанавливаемые антивирусные программные продукты сразу попадают в разряд контролируемых данным типом malware. Выход — исключительно перепрошивка железа проверенной «чистой» прошивкой.

Автор: Александр Абрамов.

Тематики: Безопасность

Ключевые слова: Dr.Web, защита персональных данных, вирусы