Kiedy kupujemy nowego smartfona, to preinstalowane malware jest tym czego najmniej się spodziewamy. Niestety nie zawsze tak jest. Pracownicy producenta programu antywirusowego Dr.Web odkryli na wielu smartfonach pochodzących z Chin zainstalowane już malware Android.Triada.231, które potrafi ukryć się przed każdym antywirusem jakiego znajdziecie do zainstalowanie w Google Play.

Ludzie wybierają smartfony z Chin nie tylko z względu na niższą cenę, ale również brak wszelkiego rodzaju zainstalowanych przez producenta aplikacji. Tego rodzaju niepotrzebnych programów jest najbardziej sporo i nie można ich najzwyczajniej w świecie odinstalować. Jedyne można zrobić, to je zablokować za pomocą menadżera aplikacji. Nie będziemy ich wtedy co prawda widzieć, ani nie będą one niepotrzebnie pożerać pamięć RAM, ale dalej będą zajmować miejsce na smartfonie. Alternatywą są tutaj flagowce od Google, ale są to bardzo drogie smartfony, które zresztą nie są pozbawione wad. Dlatego ludzie zaczęli kupować atrakcyjne zarówno cenowo, jak i sprzętowo smartfony z Chin.

Dr.Web alarmuje na temat preinstalowanego wirusa Android.Triada.231.

Kiedyś aby złapać na smartfona wirusa, to trzeba było ściągnąć z podejrzanej strony plik instalacyjny zawierający przykładowo spiraconą wersję naszej ulubionej gry mobilnej. Ostatnio coraz częściej można natknąć się na zainfekowane aplikacje w sklepie Google Play. Jednak odkrycie pracowników Dr.Web jest jeszcze lepsze. Malware Android.Triada.231 jest zainstalowane na niektórych smartfonach, które co dopiero zostały wyciągnięte z pudełka. Aktualnie wiadomo, że problem dotyczy urządzeń: Leagoo M5 Plus, Leagoo M8, Nomu S10 oraz Nomu S20.

Triada.231 infekuje deamon systemowy Zygote, który odpowiada za uruchamianie wszelkich aplikacji.

Twórcy wirusa postanowi zaatakować jeden z najważniejszych komponentów systemu operacyjnego Android. Deamon Zygote uruchamia wszystkie aplikacje, więc Triada.231 może ukryć się przed każdym antywirusem. Dodatkowo malware może sobie potajemnie pobrać i zainstalować dowolną aplikację, która będzie szpiegować użytkownika. Smartfon nie musi być nawet zrootowany, ponieważ twórcy wirusa postanowili zmodyfikować bibliotekę systemową libandroid_runtime.so. Używana jest ona przez każdą aplikację, więc złośliwy kod znajdzie się w każdym zainstalowanym przez nas programie.

Aktualnie nie wiadomo jak malware Android.Triada.231 znalazło się na chińskich smartfonach. Niemalże na pewno odpowiada za to firma odpowiedzialne za przygotowanie i wgranie fabrycznego firmware. Nie chce się wierzyć, że wirus znalazł się na smartfonach Leagoo i Nomu z woli producenta. Być może jeden z programistów korzystał z zainfekowanego narzędzia deweloperskiego i w ten sposób do smartfonów trafiła zmodyfikowana biblioteka. Kiedyś w ten właśnie sposób 2 lata temu do App Store przedostał się wirus XcodeGhost.

Źródło: Dr.Web

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.