Các tội phạm năm 2017 đã xoay sở để có được một cửa hậu tiên tiến được cài đặt sẵn trên các thiết bị Android trước khi họ rời khỏi các nhà máy của các nhà sản xuất, các nhà nghiên cứu của Google xác nhận hôm thứ Năm.
Triada lần đầu tiên được đưa ra ánh sáng vào năm 2016 trong các bài báo được xuất bản bởi Kaspersky ở đây và ở đây , phần đầu tiên cho biết phần mềm độc hại là “một trong những Trojans di động tiên tiến nhất” mà các nhà phân tích của công ty bảo mật đã gặp phải. Sau khi cài đặt, mục đích chính của Triada là cài đặt các ứng dụng có thể được sử dụng để gửi spam và hiển thị quảng cáo. Nó đã sử dụng một bộ công cụ ấn tượng, bao gồm khai thác root mà bỏ qua các biện pháp bảo vệ được tích hợp trong Android và phương tiện để sửa đổi quy trình Zygote toàn năng của HĐH Android. Điều đó có nghĩa là phần mềm độc hại có thể trực tiếp giả mạo mọi ứng dụng được cài đặt. Triada cũng kết nối với không dưới 17 máy chủ chỉ huy và điều khiển.
Vào tháng 7 năm 2017, công ty bảo mật Tiến sĩ Web đã báo cáo rằng các nhà nghiên cứu của họ đã tìm thấy Triada được tích hợp vào phần sụn của một số thiết bị Android , bao gồm Leagoo M5 Plus, Leagoo M8, Nomu S10 và Nomu S20. Những kẻ tấn công đã sử dụng cửa hậu để lén lút tải xuống và cài đặt các mô-đun. Vì cửa hậu được nhúng vào một trong các thư viện HĐH và nằm trong phần hệ thống, nên nó không thể bị xóa bằng các phương pháp tiêu chuẩn, báo cáo cho biết.
Vào thứ năm, Google đã xác nhận báo cáo của Tiến sĩ Web, mặc dù họ đã dừng việc đặt tên cho các nhà sản xuất. Báo cáo hôm thứ Năm cũng cho biết cuộc tấn công chuỗi cung ứng đã bị một hoặc nhiều đối tác của các nhà sản xuất sử dụng để chuẩn bị hình ảnh phần sụn cuối cùng được sử dụng trong các thiết bị bị ảnh hưởng. Lukasz Siewierski, thành viên của Nhóm Bảo mật & Bảo mật Android của Google, đã viết:
Triada lây nhiễm hình ảnh hệ thống thiết bị thông qua bên thứ ba trong quá trình sản xuất. Đôi khi, các OEM muốn bao gồm các tính năng không phải là một phần của Dự án mã nguồn mở Android, chẳng hạn như mở khóa bằng khuôn mặt. OEM có thể hợp tác với bên thứ ba có thể phát triển tính năng mong muốn và gửi toàn bộ hình ảnh hệ thống cho nhà cung cấp đó để phát triển.
Dựa trên phân tích, chúng tôi tin rằng một nhà cung cấp sử dụng tên Yehuo hoặc Blazefire đã lây nhiễm hình ảnh hệ thống được trả lại với Triada.
Bài đăng hôm thứ Năm cũng mở rộng về phân tích trước đó về các tính năng khiến Triada trở nên tinh vi. Đối với một, nó đã sử dụng mã hóa XOR và các tệp ZIP để mã hóa thông tin liên lạc. Và đối với người khác, nó đã tiêm mã vào ứng dụng giao diện người dùng hệ thống cho phép quảng cáo được hiển thị. Cửa hậu cũng đã chèn mã cho phép nó sử dụng ứng dụng Google Play để tải xuống và cài đặt các ứng dụng theo lựa chọn của kẻ tấn công.
“Các ứng dụng đã được tải xuống từ máy chủ C & C và giao tiếp với C & C được mã hóa bằng cách sử dụng cùng một thói quen mã hóa tùy chỉnh bằng cách sử dụng XOR và zip kép”, Siewierski viết. “Các ứng dụng được tải xuống và cài đặt đã sử dụng tên gói của các ứng dụng không phổ biến có sẵn trên Google Play. Chúng không có bất kỳ mối quan hệ nào với các ứng dụng trên Google Play ngoài cùng tên gói.”
Mike Cramp, nhà nghiên cứu bảo mật cao cấp tại nhà cung cấp bảo mật di động Zimperium, đã đồng ý với các đánh giá rằng khả năng của Triada là tiên tiến.
“Từ vẻ bề ngoài của nó, Triada dường như là một phần mềm độc hại tương đối tiên tiến bao gồm các khả năng của C & C, và ban đầu, khả năng thực thi hệ vỏ”, Cramp viết trong email. “Chúng tôi thấy rất nhiều phần mềm quảng cáo, nhưng Triada khác ở chỗ nó sử dụng C & C và các kỹ thuật khác mà chúng tôi thường thấy nhiều hơn ở khía cạnh phần mềm độc hại của mọi thứ. Vâng, tất cả đều được sử dụng để phân phối quảng cáo, nhưng theo cách chúng về nó thì phức tạp hơn hầu hết các chiến dịch phần mềm quảng cáo. Nó gần như là một ‘phần mềm quảng cáo trên steroid. “
Siewierski cho biết các nhà phát triển Triada đã dùng đến cuộc tấn công chuỗi cung ứng sau khi Google thực hiện các biện pháp đánh bại thành công cửa hậu. Một là giảm thiểu ngăn chặn các cơ chế root của nó hoạt động. Một biện pháp thứ hai là những cải tiến trong Google Play Protect cho phép công ty khử trùng điện thoại bị xâm nhập từ xa.
Phiên bản Triada được cài đặt sẵn vào năm 2017 không chứa khả năng root. Phiên bản mới “được bao gồm một cách rõ ràng trong hình ảnh hệ thống dưới dạng mã của bên thứ ba cho các tính năng bổ sung được yêu cầu bởi các OEM.” Google đã làm việc với các nhà sản xuất để đảm bảo ứng dụng độc hại đã bị xóa khỏi hình ảnh phần sụn.
Năm ngoái, Google đã triển khai một chương trình yêu cầu các nhà sản xuất gửi hình ảnh bản dựng mới hoặc cập nhật lên bộ thử nghiệm bản dựng.
“Một trong những thử nghiệm bảo mật này quét các PHA được cài đặt sẵn [các ứng dụng có khả năng gây hại] có trong hình ảnh hệ thống”, các quan chức Google viết trong báo cáo Đánh giá năm 2018 về Bảo mật & Quyền riêng tư của Android . “Nếu chúng tôi tìm thấy PHA trên bản dựng, chúng tôi sẽ làm việc với đối tác OEM để khắc phục và xóa PHA khỏi bản dựng trước khi có thể cung cấp cho người dùng.”
Tuy nhiên, báo cáo hôm thứ Năm thừa nhận rằng, khi Google thắt chặt an ninh ở một khu vực, những kẻ tấn công chắc chắn sẽ thích nghi bằng cách khai thác điểm yếu mới.
“Vụ án Triada là một ví dụ điển hình về cách các tác giả phần mềm độc hại Android đang trở nên lão luyện hơn”, Siewierski viết. “Trường hợp này cũng cho thấy việc lây nhiễm các thiết bị Android khó hơn, đặc biệt là nếu tác giả phần mềm độc hại yêu cầu nâng cao đặc quyền.”