Google potwierdza, że w 2017 roku doszło do wprowadzenia do urządzeń z systemem Android backdoora na poziomie fabryk. Oznacza to, że wiele z tych urządzeń posiadało "otwarte furty" dla cyberprzestępców, którzy mogli je eksploatować do podsłuchiwania lub wdrażania złośliwego oprogramowania.
Chodzi o Triada - zespół narzędzi wykorzystywany głównie do wprowadzania do urządzeń malware'u reklamowego był niezwykle zaawansowany pod kątem swoich możliwości. Exploity zawarte w zestawie były w stanie rootować urządzenia użytkowników po to, aby podnieść uprawnienia cyberprzestępcy. W toku analiz dotyczących Triady znaleziono 17 serwerów C&C i niewykluczone, że było ich znacznie więcej. Za ich pomocą hakerzy sterowali złośliwym oprogramowaniem w urządzeniach.
W 2017 roku, Dr. Web poinformował świat o tym, że znalazł Triadę w wielu urządzeniach mobilnych, przede wszystkim w chińskich smartfonach. Wyszczególniono Leagoo M5 Plus, Leagoo M8, Nomu S10, and Nomu S20 jako sprzęty, w których backdoor został umieszczony w bibliotekach systemowych - nie mógł zostać zatem usunięty w żaden dostępny dla zwykłego użytkownika sposób. Google potwierdziło niedawno te doniesienia - niektórzy partnerzy korzystający z AOSP wprowadzali własne, niebezpieczne mechanizmy do telefonów.
Szyfrowanie między zainfekowanym urządzeniem a serwerem C&C było szyfrowane - cyberprzestępcom więc bardzo zależało na tym, aby ukryć swoje działania. Na serwerze C&C ponadto znajdowały się również inne złośliwe programy, które były pobierane na urządzenia poszkodowanych użytkowników. Wśród nich były inne malware'y oraz małe programy wyświetlające intruzywne reklamy. Triada została uznana przez Dr. Web za jeden z bardziej skomplikowanych niebezpiecznych programów, jakie pojawiły się na urządzeniach z Androidem. Do dzisiaj nie wiadomo jak duża była skala tego przedsięwzięcia.
Niezwykle niepokojące jest to, że cyberprzestępcom udało się wniknąć do łańcucha produkcyjnego po to, aby infekować urządzenia. Użytkownicy nie musieli robić absolutnie nic, aby zostać ofiarą cyberprzestępstwa. Google jednak na przestrzeni lat umocniło swoje zabezpieczenia i Triada stała się ostatecznie bezużyteczna. Tutaj uspokajamy - prawdopodobnie żaden większy producent nie został dotknięty tym incydentem.
Czy taki atak może się powtórzyć?
Pewnie, że tak. Google o tym wie i w zeszłym roku wprowadziło program, wedle którego każdy producent musiał opublikować kolejną wersję systemu do "test suite". W trakcie sprawdzało się m. in. to, czy w oprogramowaniu nie zaszyto podobnych "niespodzianek". Wiadomo zresztą o tym, że w 2018 dzięki takiej procedurze udało się zdusić w zarodku bardzo podobny atak - wzmianka o tym znalazła się w zeszłorocznym Android Security & Privacy 2018 Year In Review. Dla Google jednak dużo większym problemem jest to, co dzieje się w oficjalnym repozytorium. Sklep Google Play wydaje się być bezpiecznym miejscem, ale to tylko pozory - nierzadko donosimy Wam o aplikacjach ze złośliwymi dodatkami.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu