Фахівці компанії «Доктор Веб» у середині 2017 року повідомили про виявлення нового троянця Android.Triada.231 у прошивках кількох бюджетних моделей Android-смартфонів. З моменту виявлення шкідливої ​​програми перелік моделей заражених пристроїв постійно поповнювався і зараз налічує понад 40 найменувань. Доктор Веб уважно стежив за цим троянцем і публікує результати проведеного розслідування.

Android.Triada.231 – представник небезпечної родини троянців Android.Triada. Вони заражають процес важливого системного компонента ОС Android під назвою Zygote, який бере участь у запуску всіх програм. Після впровадження в цей модуль троянці проникають у процеси інших працюючих додатків та отримують можливість виконувати різні шкідливі дії без участі користувача. Наприклад, непомітно завантажувати і запускати програмне забезпечення.

Особливість Android.Triada.231 полягає в тому, що вірусописувачі вбудовують цього троянця в системну бібліотеку libandroid_runtime.so на рівні вихідного коду, а не розповсюджують його як окрему програму. Внаслідок дій зловмисників шкідливий додаток поселяється безпосередньо у прошивці інфікованих мобільних пристроїв вже на етапі виробництва, і користувачі стають власниками заражених смартфонів «з коробки».

Відразу після виявлення Android.Triada.231 влітку минулого року компанія Доктор Веб повідомила про нього виробникам заражених пристроїв. Однак, незважаючи на своєчасне попередження, шкідлива програма, як і раніше, потрапляє на нові моделі смартфонів. Наприклад, її було знайдено на смартфоні Leagoo M9, який був анонсований у грудні 2017 року. При цьому дослідження показало, що додавання троянця в прошивку відбулося на прохання партнера Leagoo, компанії-розробника із Шанхаю. Ця організація надала один із своїх додатків для включення в образ операційної системи мобільних пристроїв, а також дала інструкцію щодо внесення стороннього коду до системних бібліотек перед їх складанням (компіляцією). На жаль, таке сумнівне прохання не викликало у виробника жодних підозр, і Android.Triada.231 безперешкодно потрапив на смартфони.

Аналіз програми, яку компанія-партнер запропонувала внести в прошивку Leagoo M9, показав, що вона підписана тим же сертифікатом, що й троянець Android.MulDrop.924, про який «Доктор Веб» розповідав ще 2016 року. Можна припустити, що розробник, який попросив внести додаткову програму в образ операційної системи, може прямо чи опосередковано причетний до поширення Android.Triada.231.

Наразі вірусні аналітики виявили Android.Triada.231 у прошивці понад 40 моделей Android-пристроїв: Leagoo M5, Leagoo M5 Plus, Leagoo M5 Edge, Leagoo M8, Leagoo M8 Pro, Leagoo Z5C, Leagoo T1 Plus, Leagoo Z3C , Leagoo Z1C, Leagoo M9, ARK Benefit M8, Zopo Speed ​​7 Plus, UHANS A101, Doogee X5 Max

Doogee X5 Max Pro, Doogee Shoot 1, Doogee Shoot 2, Tecno W2, Homtom HT16, Umi London, Kiano Elegance 5.1, iLife Fivo Lite, Mito A39, Vertex Impress InTouch 4G, Vertex Impress Genius, myPhone Hammer Energy S5E NXT, Advan S4Z, Advan i5E, STF AERIAL PLUS, STF JOY PRO, Tesla SP6.2, Cubot Rainbow, EXTREME 7, Haier T51, Cherry Mobile Flare S5, Cherry Mobile Flare J2S, Cherry Mobile Flare P1, NOA H6 T1 PLUS, Prestigio Grace M5 LTE, BQ 5510.

Цей список – не остаточний, перелік інфікованих моделей смартфонів може виявитися набагато ширшим.

Таке широке поширення Android.Triada.231 говорить про те, що багато виробників Android-пристроїв приділяють занадто мало уваги питанням безпеки, і впровадження троянського коду в системні компоненти через помилки або злого наміру може бути дуже поширеною практикою.

Продукти Dr.Web для Android виявляють всі відомі модифікації Android.Triada.231, тому, щоб з'ясувати, чи мобільний пристрій заражений, необхідно виконати його повну перевірку. Dr.Web Security Space для Android за наявності root-повноважень здатний знешкодити Android.Triada.231, вилікувавши заражений системний компонент. Якщо ж на інфікованому пристрої root-привілеї недоступні, позбавитися шкідливої ​​програми допоможе встановлення чистого образу операційної системи, яку має надати виробник смартфона.