Google no dia de 6 de junho, relatou por meio de uma publicação de seu blog de segurança do Google, que detectou a presença de um backdoor pré-instalado em dispositivos Android antes de deixar as fábricas.
O Google estudou a situação depois que ela foi revelada por especialistas em segurança de computador alguns anos antes. Estas são as aplicações maliciosas da «família Triada» concebidas para spam e publicidade em dispositivos Android.
Sobre TriadaDe acordo com o Google, a Triada desenvolveu um método para instalar malware em telefones Android virtualmente na fábrica, antes mesmo dos clientes iniciarem ou até mesmo instalarem um único aplicativo em seus dispositivos.
Foi em março de 2016 que Triada foi descoberta pela primeira vez em uma postagem de blog no site da empresa de segurança de computador Kaspersky Lab..
Naquele momento, era um Trojan enraizado desconhecido pelos analistas da empresa de segurança que tentava explorar dispositivos Android após receber privilégios.
Conforme explicado pela Kaspersky Lab para 2016, uma vez que o Triada é instalado em um dispositivo, seu objetivo principal era instalar aplicativos que poderiam ser usados ??para enviar spam e exibir anúncios.
Ele usou um conjunto impressionante de ferramentas, incluindo o enraizamento de vulnerabilidades que contornam as proteções de segurança integradas do Android e maneiras de ajustar o processo Zygote do sistema operacional Android.
Estas são as marcas afetadasEsses aplicativos maliciosos foram encontrados em 2017 pré-instalados em vários dispositivos móveis Android, incluindo smartphones da marca Leagoo (modelos M5 plus e M8) e Nomu (modelos S10 e S20).
Os programas maliciosos desta família de aplicativos atacam o processo do sistema chamado Zygote (o iniciador do processo de aplicativo de terceiros). Ao se injetar no Zygote, esses programas maliciosos podem se infiltrar em qualquer outro processo.
"Libandroid_runtime.so é usado por todos os aplicativos Android, então o malware se injeta na área da memória de todos os aplicativos em execução, pois a principal função desse malware é baixar componentes maliciosos adicionais.”
Porque foi construído em uma das bibliotecas operacionais do sistema e está localizado na seção Sistema, que não pode ser removido pelos métodos padrão, de acordo com o relatório. Os invasores podem usar silenciosamente a porta dos fundos para baixar e instalar módulos invasores.
De acordo com o relatório do Google Security Blog, a primeira ação da Triada foi instalar um tipo de superusuário de arquivos binários (su).
Esta sub-rotina permitiu que outros aplicativos no dispositivo usassem permissões de root. Segundo o Google, o binário usado pela Triada exigia uma senha, o que significa que era único em comparação com os binários comuns a outros sistemas Linux. Isso significa que o malware pode falsificar diretamente todos os aplicativos instalados.
De acordo com a Kaspersky Lab, eles explicam por que Triada é tão difícil de detectar. Primeiro, modifica o processo do zigoto. Zygote É o processo básico do sistema operacional Android que é usado como modelo para cada aplicativo, o que significa que, uma vez que o cavalo de Tróia entra no processo, ele se torna parte de cada aplicativo iniciado no dispositivo.
Em segundo lugar, ele substitui as funções do sistema e oculta seus módulos da lista de processos em execução e aplicativos instalados. Portanto, o sistema não vê nenhum processo estranho em execução e, portanto, não emite nenhum alerta.
De acordo com a análise do Google em seu relatório, outros motivos tornaram a família Triada de aplicativos maliciosos tão sofisticada.
Por um lado, ele usou a codificação XOR e arquivos ZIP para criptografar as comunicações. Por outro lado, ela injetou código no aplicativo de interface do usuário do sistema que permitia a exibição de anúncios. O backdoor também injetou código nele que lhe permitiu usar o aplicativo Google Play para baixar e instalar aplicativos de sua escolha.
Como se protegerNo caso destes backdoors, não há muito o que possa ser feito, porém as poucas soluções que podem ajudar de alguma forma são as mais conhecidas: usar um antivírus e VPN.
Mesmo que sejam as formas mais tradicionais de proteção, e que podem não resolver por completo o ataque de backdoor, ainda recomendamos você que veja esses programas gratuitos de VPN e assim poderá escolher uma forma de ter uma proteção maior de seus aplicativos sem gastar dinheiro. Há também outras formas como já citamos, usar antivirus em conjunto.
Os antivírus funcionam melhor antes de ter estes aplicativos instalados em seu dispositivo, mas eles ainda podem encontrar o programa invasor e tentar bloquea-lo. Portanto, fique sempre atento à se proteger da forma que puder.
ConclusãoChegamos à conclusão de que em alguns casos pode realmente ser dificil se proteger dos backdoors, ainda mais quando estes já vem instalados dentro dos dispositivos de fábrica. Isso faz com que seja realmente difícil lidar com o problema, mas ainda há formas de minimizar as consequências, como já falamos no tópico anterior.
E você, o que acha disso? É uma invasão imperdoável da sua privacidade, ou apenas mais uma forma moderna de fazer marketing digital? Deixe sua opinião nos comentários, e compartilhe essa notícia com seus amigos.
