Google detecto un Backdoor preinstalado en dispositivos Android antes de salir de fabrica
Google el día de ayer (jueves 6 de junio) informo mediante una publicación de su blog de Google Security Blog, que ha detectado la presencia de un backdoor preinstalado en dispositivos Android antes de abandonar las fábricas.
Google ha estudiado la situación después de que fue revelada por especialistas en seguridad informática unos años antes. Estas son las aplicaciones maliciosas de la “familia Triada” diseñadas para enviar spam y publicitar en un dispositivo Android.
Sobre Triada
Según Google, Triada ha desarrollado un método para instalar malware en teléfonos Android prácticamente en la fábrica, incluso antes de que los clientes comenzaran o incluso instalaran una sola aplicación en sus dispositivos.
Fue en marzo de 2016 cuando Triada fue descrita por primera vez en una publicación de blog en el sitio web de la compañía de seguridad informática Kaspersky Lab. Otra publicación del blog fue dedicada por la compañía en junio de 2016.
En ese momento, era un troyano arraigado y desconocido por los analistas de la compañía de seguridad que intentaban explotar dispositivos Android después de recibir Privilegios elevados.
Según la explicación de Kaspersky Lab para 2016, una vez que Triada se instala en un dispositivo, su propósito principal era instalar aplicaciones que podrían usarse para enviar correo no deseado y mostrar anuncios.
Utilizó un impresionante conjunto de herramientas, incluidas las vulnerabilidades de rooting que evitan las protecciones de seguridad integradas de Android y las formas de modificar el proceso Zygote del sistema operativo Android.
Estas son las marcas afectadas
Estas aplicaciones maliciosas se encontraron en 2017 preinstaladas en varios dispositivos móviles Android, incluidos los teléfonos inteligentes de la marca Leagoo (modelos M5 plus y M8) y Nomu (modelos S10 y S20).
Los programas maliciosos en esta familia de aplicaciones atacan el proceso del sistema llamado Zygote (el iniciador de procesos de aplicaciones de terceros). Al inyectarse en Zygote, estos programas maliciosos pueden infiltrarse en cualquier otro proceso.
“Libandroid_runtime.so es utilizado por todas las aplicaciones de Android, por lo que el malware se inyecta en el área de memoria de todas las aplicaciones que se ejecutan ya que la función principal de este malware es descargar componentes maliciosos adicionales. “
Debido a que fue construido en una de las bibliotecas del sistema operativo y se encuentra en la sección Sistema, que no puede ser eliminado usando métodos estándar, según el informe. Los atacantes han podido usar silenciosamente la puerta trasera para descargar e instalar módulos subrepticios.
Según el informe en el Blog de seguridad de Google, la primera acción de Triada fue instalar un tipo de superusuario de archivos binarios (su).
Esta subrutina permitió que otras aplicaciones en el dispositivo usen permisos de root. Según Google, el binario utilizado por Triada requería una contraseña, lo que significa que era único en comparación con los archivos binarios comunes a otros sistemas Linux. Esto significaba que el malware podía falsificar directamente todas las aplicaciones instaladas.
Según Kaspersky Lab, explican por qué Triada es tan difícil de detectar. En primer lugar, modifica el proceso de Zygote. Zygote es el proceso básico del sistema operativo Android que se usa como plantilla para cada aplicación, lo que significa que una vez que el troyano ingresa al proceso, se convierte en parte de cada aplicación que se inicia en el dispositivo.
En segundo lugar, anula las funciones del sistema y oculta sus módulos de la lista de procesos en ejecución y aplicaciones instaladas. Por lo tanto, el sistema no ve ningún proceso extraño en ejecución y, por lo tanto, no lanza ninguna alerta.
Según el análisis de Google en su informe, otras razones han hecho que la familia de aplicaciones maliciosas Triada sea tan sofisticada.
Por un lado, usaba codificación XOR y archivos ZIP para cifrar las comunicaciones. Por otro lado, ella inyectó código en la aplicación de la interfaz de usuario del sistema que permitía mostrar anuncios. La puerta trasera también le inyectó un código que le permitió usar la aplicación Google Play para descargar e instalar aplicaciones de su elección.
El artículo Google detecto un Backdoor preinstalado en dispositivos Android antes de salir de fabrica ha sido originalmente publicado en Linux Adictos.