Trojan Triada được cài đặt sẵn trên những thiết bị Android giá rẻ

09:53 | 22/08/2017 | HACKER / MALWARE

Các nhà nghiên cứu về an ninh tại Dr. Web (Nga) cho biết, một trojan có tên Triada được tích hợp sẵn vào firmware của một số mẫu thiết bị Android giá rẻ.

Trojan Triada được cài đặt sẵn trên những thiết bị Android giá rẻ

Được nhắc đến từ năm 2016, Triada được coi là phần mềm độc hại nguy hiểm nhất trên điện thoại di động, có thể tự tích hợp vào tiến trình lõi Zygote, lây nhiễm trên mọi ứng dụng trong thiết bị. Đầu năm 2017, trojan này đã nhắm tới công nghệ sandbox (đặc biệt là công nghệ mã nguồn mở sandbox DroidPlugin) để tăng khả năng tránh bị phát hiện.

Theo Dr. Web, phần mềm độc hại này hiện được nhúng vào thư viện hệ thống libandroid_runtime.so nên chúng có thể tham gia vào tất cả các tiến trình chạy phần mềm mà không cần đến quyền root của thiết bị. Thư viện đã bị chỉnh sửa ở trên được tìm thấy trên một số thiết bị như: Leagoo M5 Plus, Leagoo M8, Nomu S10, và Nomu S20.

Việc được thực thi trực tiếp trong thư viện hệ thống cho phép mã độc điều khiển quá trình ghi nhật ký hệ thống của các ứng dụng trong thiết bị. Các nhà nghiên cứu cho biết, đối với các thiết bị bị lây nhiễm, lõi Zygote còn cho phép Trojan khởi chạy trước tất cả các ứng dụng khác trong thiết bị.

Ngay sau khi khởi tạo, mã độc tiến hành thiết lập các thông số, tạo một thư mục làm việc, kiểm tra môi trường. Nếu mã độc chạy trong môi trường Dalvik (quá trình ảo hóa trong Android), nó sẽ chặn một tiến trình hệ thống để theo dõi khi các ứng dụng khởi động và nhúng các mã độc vào ứng dụng đó ngay khi khởi động.

Trojan này có thể bí mật chạy thêm các mô đun độc hại để tải xuống các thành phần Trojan khác. Theo các nhà nghiên cứu, cách tiếp cận này có thể được mã độc sử dụng để chạy các plugin độc hại nhằm đánh cắp thông tin bí mật, các chứng chỉ ngân hàng, chạy các mô đun gián điệp hay ngăn chặn các tin nhắn, các thông điệp truyền thông xã hội.

Một mô đun khác của Triada được thiết kế để tải xuống thêm các thành phần độc hại từ Internet và sau khi tải xuống, chúng có thể tương tác được với nhau, mô đun này có thể trích xuất và giải mã được từ libandroid_runtime.so.

Các nhà nghiên cứu về bảo mật khuyến cáo, khi Triada được nhúng vào một trong những thư viện của hệ điều hành và nằm trong phần lõi hệ thống, nó không thể bị xóa hay gỡ bỏ bằng các phương thức thông thường. Phương pháp duy nhất và an toàn để loại bỏ Trojan này là cài đặt một firmware hoàn toàn sạch.

Dr. Web cho biết, họ đã thông báo các vấn đề của mã độc này cho các nhà sản xuất smartphone. Những người dùng được khuyến cáo hãy cài đặt tất cả các bản cập nhật được phát hành cho thiết bị.

‹ › ×

Tin liên quan

Phát hiện phần mềm độc hại OSX/CrescentCore nhắm mục tiêu vào máy Mac

08:00 | 19/07/2019

Ngày 28/6/2019, Các nhà nghiên cứu của Intego (công ty bảo mật phần mềm cho Mac) đã phát hiện phần mềm độc hại OSX/CrescentCore được thiết kế dưới dạng Trojan và ngụy trang các bản cập nhật Flash Player trên trình duyệt. Đáng lưu ý, phần mềm độc hại này còn có các tính năng giúp lẩn tránh các giải pháp chống virus trên hệ điều hành macOS.

Cảnh báo phần mềm độc hại thu thập dữ liệu thiết bị Android

09:00 | 02/04/2021

Mới đây, các nhà nghiên cứu tại zLabs của công ty Zimperium (Hoa Kỳ) đã phát hiện ra phần mềm độc hại mới có khả năng tự ngụy trang dưới dạng Software Update trên thiết bị Android của người dùng.

Tin cùng chuyên mục

Tin tặc Nga tấn công vào hệ thống mạng lưới của Chính phủ Ba Lan

08:00 | 15/05/2024

Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.

Tin tặc khai thác lỗ hổng OpenMetadata để khai thác tiền điện tử trên Kubernetes

14:00 | 25/04/2024

Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.