Analitycy wirusów z Dr.Web wykryli złośliwy program wbudowany w firmware kilkudziesięciu urządzeń mobilnych pracujących pod kontrolą systemu Android.,  Trojan nazwany Android.Triada.231 jest wbudowany w jedną z bibliotek systemowych smartfonów, sprzedawanych na całym świecie, w tym w Polsce.

Malware jest wbudowany w jedną z bibliotek systemowych. Penetruje on procesy wszystkich uruchomionych aplikacji i potrafi w ukryciu pobierać i uruchamiać dodatkowe moduły.

Na największe ryzyko narażone są urządzenia mobilne sprzedawane w takich krajach jak:  Rosja, Polska, Indonezja, Chiny, Republika Czeska, Meksyk, Kazachstan i Serbia. Analitycy ostrzegają jednak, że wirus na smartfonach trafi też  na inne kraje.

Preinstalowane malware znaleziono na smartfonach:

  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus (sprzedawany w Polsce)
  • UHANS A101
  • Doogee X5 Max (sprzedawany w Polsce)
  • Doogee X5 Max Pro
  • Doogee Shoot 1 (sprzedawany w Polsce)
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16 (sprzedawany w Polsce)
  • Umi London
  • Kiano Elegance 5.1 (sprzedawany w Polsce)
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy (mPTech  obecnie sprzedawane egzemplarze są bezpieczne)
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE (sprzedawany w Polsce)
  • BQ 5510

Cechą wyróżniającą to szkodliwe oprogramowanie jest wykorzystywanie Zygote – nadrzędnego elementu procesu aplikacji na urządzeniu z systemem Android – który zawiera biblioteki systemowe oraz struktury wykorzystywane przez każdą aplikację zainstalowaną na urządzeniu. Innymi słowy, jest to moduł systemowy, którego celem jest uruchomienie aplikacji działających w Androidzie. Jest to standardowy proces aplikacji, który odnosi się do każdego nowo zainstalowanego programu. To oznacza, że tuż po przedostaniu się do systemu trojan stanie się częścią procesu aplikacji i będzie dodawany do każdej aplikacji uruchamiającej się na urządzeniu, przez co będzie mógł nawet zmienić logikę funkcjonowania programów.

Triada charakteryzuje się zaawansowanymi możliwościami ukrywania się. Po wniknięciu do urządzenia użytkownika trojan dodaje się do niemal każdego procesu roboczego i egzystuje w pamięci krótkoterminowej. Z tego powodu wykrycie go i usunięcie przy użyciu rozwiązań antywirusowych jest prawie niemożliwe. Triada działa ukradkowo, co oznacza, że wszystkie szkodliwe działania są ukryte zarówno przed użytkownikiem, jak i innymi aplikacjami.

Złożona funkcjonalność Triady świadczy o tym, że za szkodnikiem stoją bardzo zaawansowani cyberprzestępcy, posiadający dogłębną wiedzę na temat atakowanej platformy mobilnej.

Ponieważ Android.Triada.231 jest wbudowany w jedną z bibliotek systemu operacyjnego i zlokalizowany w sekcji systemowej pamięci urządzenia, to nie może być usunięty z użyciem standardowych metod. Jedyną pewną i bezpieczną metodą wyeliminowania tego trojana jest zainstalowanie czystego firmware systemu Android. Specjaliści Dr.Web poinformowali producentów zaatakowanych smartfonów o istniejącym problemie, więc użytkownikom zaleca się zainstalowanie wszystkich możliwych aktualizacji które będą wydane dla tych urządzeń.

źródło: Doctor Web

Zwróciliśmy się z pytaniem do zainteresowanych producentów i dystrybutorów sprzętu w Polsce o komentarz w tej sprawie.

 

Oświadczenie mPTech ws. listy smartfonów z zainfekowanym systemem.

Szanowni Państwo,

W miniony weekend media obiegła informacja z listą smartfonów zainfekowanych trojanem Triada (źródło: wccftech.com i news.drweb.com). Wśród wymienionych urządzeń znalazł się HAMMER Energy. Pragniemy uspokoić wszystkich posiadaczy tego modelu, jak i innych produktów z logo HAMMER oraz myPhone oraz partnerów.

Zapewniamy, że urządzenia HAMMER Energy, które posiadają użytkownicy – zarówno te z systemem Android 6.0, jak i 7.0 (także te dostępne w sieciach PLAY i T-Mobile) są dziś wolne od wszelkich wirusów.

Jednocześnie przyznajemy – w 2016 roku, po premierze modelu HAMMER Energy z systemem w wersji Android 6.0, zarejestrowaliśmy egzemplarze z infekcją. Udało nam się ją szybko i całkowicie wyeliminować oraz udostępnić naszym użytkownikom wygodną aktualizację poprzez OTA. Od początku 2017 roku nie odnotowaliśmy zgłoszeń od użytkowników dotyczących infekcji systemu. W efekcie informacja, na którą powołują się dziś media jest nieaktualna i nieprawdziwa.

Zainteresowane osoby, które mają obawy związane z oprogramowaniem w użytkowanym modelu HAMMER Energy zachęcamy do kontaktu z działem obsługi myPhone. Jednocześnie chcemy podziękować za wszystkie pytania i komentarze w tej sprawie – to dla nas bardzo ważne.

Od 3 lat współpracujemy z Google rozwijając system Android. Od 2016 roku jesteśmy partnerem MADA – Mobile Application Distribution Agreement. Dzięki spełnianiu wymogów autorów Androida wszystkie modele naszych smartfonów posiadają bezpieczny, czysty i certyfikowany system oraz legalny i oficjalny dostęp do wszelkich funkcjonalności np. sklepu Google Play z tysiącami aplikacji.

Korzystając z okazji ogromnego zainteresowania, jakie wzbudził nasz HAMMER Energy, zachęcamy do śledzenia naszego fan page’a „HAMMER. Możesz Więcej!”, na którym informujemy o wszelkich aktualizacjach, konkursach i nowościach dla posiadaczy naszych pancernych modeli.

mPTech