Trojan Triada được cài đặt sẵn trên những thiết bị Android giá rẻ

09:09 | 22/08/2017

Các nhà nghiên cứu về an ninh tại Dr. Web (Nga) cho biết, một trojan có tên Triada được tích hợp sẵn vào firmware của một số mẫu thiết bị Android giá rẻ.



Được nhắc đến từ năm 2016, Triada được coi là phần mềm độc hại nguy hiểm nhất trên điện thoại di động, có thể tự tích hợp vào tiến trình lõi Zygote, lây nhiễm trên mọi ứng dụng trong thiết bị. Đầu năm 2017, trojan này đã nhắm tới công nghệ sandbox (đặc biệt là công nghệ mã nguồn mở sandbox DroidPlugin) để tăng khả năng tránh bị phát hiện.

Theo Dr. Web, phần mềm độc hại này hiện được nhúng vào thư viện hệ thống libandroid_runtime.so nên chúng có thể tham gia vào tất cả các tiến trình chạy phần mềm mà không cần đến quyền root của thiết bị. Thư viện đã bị chỉnh sửa ở trên được tìm thấy trên một số thiết bị như: Leagoo M5 Plus, Leagoo M8, Nomu S10, và Nomu S20.

Việc được thực thi trực tiếp trong thư viện hệ thống cho phép mã độc điều khiển quá trình ghi nhật ký hệ thống của các ứng dụng trong thiết bị. Các nhà nghiên cứu cho biết, đối với các thiết bị bị lây nhiễm, lõi Zygote còn cho phép Trojan khởi chạy trước tất cả các ứng dụng khác trong thiết bị.

Ngay sau khi khởi tạo, mã độc tiến hành thiết lập các thông số, tạo một thư mục làm việc, kiểm tra môi trường. Nếu mã độc chạy trong môi trường Dalvik (quá trình ảo hóa trong Android), nó sẽ chặn một tiến trình hệ thống để theo dõi khi các ứng dụng khởi động và nhúng các mã độc vào ứng dụng đó ngay khi khởi động.

Trojan này có thể bí mật chạy thêm các mô đun độc hại để tải xuống các thành phần Trojan khác. Theo các nhà nghiên cứu, cách tiếp cận này có thể được mã độc sử dụng để chạy các plugin độc hại nhằm đánh cắp thông tin bí mật, các chứng chỉ ngân hàng, chạy các mô đun gián điệp hay ngăn chặn các tin nhắn, các thông điệp truyền thông xã hội.

Một mô đun khác của Triada được thiết kế để tải xuống thêm các thành phần độc hại từ Internet và sau khi tải xuống, chúng có thể tương tác được với nhau, mô đun này có thể trích xuất và giải mã được từ libandroid_runtime.so.

Các nhà nghiên cứu về bảo mật khuyến cáo, khi Triada được nhúng vào một trong những thư viện của hệ điều hành và nằm trong phần lõi hệ thống, nó không thể bị xóa hay gỡ bỏ bằng các phương thức thông thường. Phương pháp duy nhất và an toàn để loại bỏ Trojan này là cài đặt một firmware hoàn toàn sạch. 

Dr. Web cho biết, họ đã thông báo các vấn đề của mã độc này cho các nhà sản xuất smartphone. Những người dùng được khuyến cáo hãy cài đặt tất cả các bản cập nhật được phát hành cho thiết bị.