1 de marzo de 2018

A mediados del año 2017 los expertos de la empresa Doctor Web informaron sobre la detección del nuevo troyano Android.Triada.231 en el firmware de varios modelos económicos de smartphones en Android. Desde el momento de detección del programa nocivo, el listado de modelos de dispositivos infectados se completaba constantemente y actualmente contiene más de 40 elementos. Doctor Web supervisaba este troyano con atención y publica los resultados de la investigación realizada.

Android.Triada.231 – es un representante de la familia peligrosa de troyanos Android.Triada. Infectan el proceso del componente de sistema importante del SO Android llamado Zygote que participa en el inicio de todos los programas. Una vez implementado en este módulo, los troyanos penetran en los procesos de las demás aplicaciones activas y pueden realizar varias acciones nocivas sin autorización del usuario. Por ejemplo, descargar e iniciar el software sin autorización. La peculiaridad de Android.Triada.231 es que los creadores de virus incrustan este troyano en la biblioteca de sistema libandroid_runtime.so a nivel del código inicial y no lo difunden como un programa independiente. Como resultado de las acciones de los malintencionados, la aplicación nociva se integra directamente en el firmware de los dispositivos móviles infectados ya en la epata de producción, y los usuarios son titulares de los smartphones nuevos ya infectados.

Una vez detectado Android.Triada.231 en verano del año pasado, la empresa Doctor Web informó sobre el mismo a los productores de dispositivos infectados. Pero, a pesar de la advertencia oportuna, el programa nocivo sigue apareciendo en nuevos modelos de smartphones. Por ejemplo, fue detectado en el smartphone Leagoo M9 anunciado en diciembre del año 2017. Así mismo, la investigación relevó que este troyano fue añadido al firmware por solicitud del socio de Leagoo, una empresa desarrolladora de Shanghái. Esta empresa ofreció una aplicación suya para incluirla en la imagen del sistema operativo de dispositivos móviles, y también dio instrucciones para implementar el código de terceros en las bibliotecas de sistema antes de compilar las mismas. Lamentablemente, esta petición dudosa no provocó ninguna sospecha al productor y Android.Triada.231 penetró en smartphones sin problema.

El análisis de la aplicación que la empresa socia ofreció implementar en el firmware de Leagoo M9 relevó que la misma fue firmada con el mismo certificado que el troyano Android.MulDrop.924, del cual Doctor Web informó aún en el año 2016. Se puede suponer que el desarrollador que ofreció añadir un programa extra a la imagen del sistema operativo puede estar involucrado, directamente o indirectamente, a la difusión de Android.Triada.231.

A fecha de hoy, los analistas de virus detectaron Android.Triada.231 en el firmware de más de 40 modelos de dispositivos en Android:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

Este listado no es final, el conjunto de modelos infectados puede ser más amplio.

La difusión tan amplia de Android.Triada.231 confirma que muchos productores de dispositivos en Android prestan muy poca atención a los problemas de seguridad, y la implementación del código troyano en los componentes de sistema por causa de errores o mala intención puede ser bastante frecuente.

Los productos Dr.Web para Android se detectan por todas las modificaciones conocidas de Android.Triada.231, por lo tanto, para saber si un dispositivo móvil está infectad, el mismo debe ser escaneado completamente. Dr.Web Security Space para Android en caso de permisos root puede afrontar Android.Triada.231, al haber desinfectado el componente de sistema infectado. Si en el dispositivo infectado los privilegios root no están disponibles, para desinfectarlo, ayudará la instalación de la imagen limpia del sistema operativo que debe proporcionar el productor del smartpone.

Más información sobre el troyano