Kupowanie taniego smartfonu od mało znanego producenta, a następnie używanie go z dostarczoną przez tego producenta wersją Androida jest proszeniem się o kłopoty. Skąd właściwie mamy wiedzieć, co faktycznie na takim telefonie działa? Z badań firmy Dr.Web wynika, że nie tylko nie mamy skąd wiedzieć, ale też i nie wiemy. Co najmniej 42 modele sprzedawanych obecnie niedrogich smartfonów zainfekowane są trojanem zdolnym do atakowania aplikacji bankowych. Są wśród nich modele polskich producentów, sprzedawane przez duże sieci handlowe.
Android.Triada.231 - pod taką nazwą oprogramowanie antywirusowe rozpoznaje bardzo ciekawego trojana, którym nie można się przypadkowo zarazić. Jest to bowiem trojan, którego dostajemy w pakiecie wraz z nowo kupionym telefonem z systemem Android. Osadzony w bibliotece libandroid_runtime.so modyfikuje jeden z kluczowych procesów systemowych, Zygote. Jest to proces z którego wyprowadzane są wszystkie inne procesy, by przyspieszyć uruchamianie aplikacji. Kod w nim zawarty może więc zostać uruchomiony wewnątrz każdej innej androidowej aplikacji.
Napastnik, który zdołałby zainfekować w ten sposób system operacyjny telefonu, jest więc jego faktycznym właścicielem – może zdalnie uruchamiać na nim dowolne oprogramowanie, w tym to najcenniejsze dla cyberprzestępców, tj. spyware wykorzystywane do wykradania informacji niezbędnych do elektronicznej bankowości.
Aktywność trojanów z rodziny Triada obserwuje się już od kilku lat, ale w ostatnich miesiącach zaczęła ona wyraźnie rosnąć. Dotyczy to przede wszystkim urządzeń z Chin, często sprzedawanych pod rodzimymi markami w Europie. Kuszące atrakcyjną ceną przy stosunkowo niezłych parametrach, trafiają do oferty dużych sieci handlowych, by w ten sposób trafić w ręce nie spodziewających się żadnego zagrożenia ofiar.
Wygląda na to, że nakłonienie producentów do zainfekowania oferowanej wersji Androida nie jest wcale trudne. Dr.Web jako przykład przedstawia producenta Leagoo, który wprowadził Triadę.231 do wielu swoich modeli telefonów na żądanie pewnego partnera z Szanghaju. Firma ta przygotowała jedną ze swoich aplikacji dla Leagoo, wraz z instrukcjami jak dodać jej rzekomo niezbędny kod do bibliotek systemowych. Producent najwyraźniej nawet nie mrugnął, zgadzając się na wzbogacenie obrazu systemu o złośliwe oprogramowanie.
Zagrożone modele: czy jesteś ofiarą Triady.231?
Do tej pory zidentyfikowano 42 modele dostępnych obecnie w sprzedaży smartfonów, które zainfekowane są Triadą.231, w rzeczywistości może być ich jednak znacznie więcej. Uważać powinni użytkownicy sprzętu następujących producentów i marek:
Leagoo (M5, M5 Plus, M5 Edge, M8, M8 Pro, Z5C, T1 Plus, Z3C, Z1C, M9)
ARK (Benefit M8)
Zopo (Speed 7 Plus)
UHANS (A101)
Doogee (X5 Max, X5 Max Pro, Shoot 1, Shoot 2)
Tecno (W2)
Homtom (HT16)
Umi (London)
Kiano (Elegance 5.1)
iLife (Fivo Lite)
Mito (A39)
Vertex (Impress InTouch 4G, Impress Genius)
myPhone (Hammer Energy)
Advan (S5E NXT, S4Z, i5E)
STF (AERIAL PLUS, JOY PRO)
Tesla (SP6.2)
Cubot (Rainbow)
EXTREME (7)
Haier (T51)
Cherry Mobile (Flare S5, Flare J2S, Flare P1)
NOA (H6)
Pelitt (T1 PLUS)
Prestigio (Grace M5 LTE)
BQ (5510)
Skontaktowaliśmy się z najbardziej znanymi z tych producentów na polskim rynku (w tym Kiano i myPhone) celem ustalenia, co oni o tym wiedzą i co zamierzają zrobić, by zaradzić zagrożeniu. Jak tylko się czegoś od nich dowiemy, zaktualizujemy ten materiał.
Mam smartfon z tej listy, co teraz?
Dr.Web zapewnia, że najnowsza wersja jego mobilnego antywirusa jest w stanie wykryć Triadę.231. Co z usunięciem? Bez uprawnień roota tego nie sposób zrobić. Jeśli nie macie roota na swoim urządzeniu, pomóc może jedynie zwrócenie się do producenta o udostępnienie w aktualizacji OTA wolnego od malware obrazu Androida.
źródło: dobreprogramyJeśli chcesz otrzymywać wyczerpujące informacje z serwisu MRT Net, zaprenumeruj nasz Newsletter 
Ukryj panel
![[RSS]](images/rss_bigs.png "Kliknij i subskrybuj RSS-a")
