Nedavno je otkriveno da se čak 42 modela Android telefona niže klase kupcima prodaju sa već ugrađenim Triada bankarskim trojancem! Do tih saznanja došao je Dr.Web, ruski AV vendor.

Puno ime trojanca je Android.Triada.231. U pitanju je moćni bankarski trojanac za Android uređaje koji je otkriven početkom 2016. Triada rootuje uređaje i inficira bazični Android OS proces Zygote, odakle ga je gotovo nemoguće ukloniti bez brisanja čitavog uređaja i reinstaliranja OS-a. Zygote je proces koji se koristi za pokretanje svih aplikacija. Kada trojanac uđe u modul, prodire i u druge pokrenute aplikacije. Za to vreme, trojanac je u stanju da obavi brojne maliciozne aktivnosti bez znanja korisnika, npr. da tajno downloaduje i pokreće softvere.

Glavna odlika Android.Triada.231 trojanca je da ga sajber kriminalci ubacuju direktno u libandroid_runtime.so sistemsku biblioteku. To znači da se trojanac ne distribuira kao poseban program, već maliciozna aplikacija ulazi u firmware uređaja tokom proizvodnje. Ukratko, korisnici dobijaju nov uređaj koji je već inficiran pre puštanja u rad.

Zaraženi uređaji se prodaju širom sveta

Trojanac je pronađen na uređajima manje poznatih brendova, pretežno iz Kine, koji su tek otpremljeni za prodaju. U pitanju su brendovi kao što su Leagoo, Doogee, Vertex, Advan, Cherry Mobile, ali i nama dobro poznati brend Tesla.

Veliki broj zaraženih uređaja bio je namenjen za rusko tržište, ali i za tržišta Srbije, Poljske, Indonezije, Kine, Češke, Meksika i Kazahstana. Pre ovog otkrića, u julu 2017. isti trojanac pronađen je u 4 Android modela niže klase - Leagoo M5 Plus, Leagoo M8, Nomu S10 i Nomu S20. Očigledno da ovo ranije otkriće nije zaustavilo one koji stoje iza kompromitovanja uređaja, jer je unapred instalirani Triada trojanac pronađen i na Leagoo M9 uređajima koji su se na tržištu pojavili decembra 2017.

Triada trojanac povezan sa softverskom kompanijom iz Šangaja

Istraživači su najpre mislili da je jedan od zajedničkih distributera pomenutih modela odgovoran za ubacivanje trojanca pre puštanja telefona na tržište. Međutim, ispostavilo se da je izvor Triada infekcije softverska kompanija iz Šangaja. Ova kompanija je ubacila jednu od svojih aplikacija u image OS-a Leagoo telefona i pružila instrukcije da se ubaci third-party code u sistemske biblioteke pre njihovih kompilacija. Ovaj kontroverzni zahtev, nažalost, nije probudio sumnju kod proizvođača. Kao rezultat imamo da je Android.Triada.231 bez prepreka dospeo na pametne uređaje.

Ista kompanija odgovorna i za druge malver kampanje

Aplikacije kompanije iz Šangaja zaražene Triada trojancem su potpisane istim sertifikatom koji je viđen u drugoj malver infekciji novembra 2016. godine. U pitanju je Android aplikacija sa preko milion preuzimanja iz Google Play prodavnice koja je korisnicima isporučivala Android.MulDrop adware.

Kao zaključak, dodajemo da je ovo još jedan slučaj u kome su kompanije podbacile kod validacije lanca snabdevanja svojih softvera, a posledice snose korisnici.

Ispod se nalazi lista od 42 modela pametnih Android telefona zaraženih Triada trojancem:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ 5510

UPDATE, 5. mart 2018.

Proizvođača Tesla telefona smo obavestili o mogućnosti postojanja trojanca u njihovom modelu 6.2, nakon čega nam je stigao i odgovor:

Hvala Vam puno za obaveštenje koje ste nam poslali. Posle testova koje smo obavili, možemo da Vam priložimo i njihove rezultate.

Test smartphone 6.2 softvera je urađen uz pomoć aplikacije Dr. Web koja je korišćena za detektovanje problema u navedenom članku. Aplikacija je skinuta sa Google Play Store (https://play.google.com/store/apps/details?id=com.drweb). Urađen je Full scan uređaja i nisu uočeni navedeni problemi. Tesla smartphone 6.2 softver ne sadrži Triada malware. U prilogu je i screenshot završenog testiranja i softverske verzije

Izvori: Bleeping Computer i Dr.Web