Em 2017, criminosos conseguiram instalar um backdoor avançado em dispositivos Android antes de deixaram as fábricas. A informação foi confirmada pelo Google nesta semana. O erro ficou conhecido como Triada, e fazia com que os dispositivos baixassem aplicativos secretamente para o envio de spam e exibição de propagandas.

Sua primeira aparição foi em 2016, e foi descoberto pela equipe da Kaspersky. Eles disseram que o malware era um dos “trojans móveis mais avançados” dentre os que a empresa já havia encontrado. O principal objetivo do Triada era de ser usado para exibir anúncios, mas ele apresentava uma arquitetura com características capazes de modificar processos bastante importantes do sistema operacional. Com isso, ele poderia interferir diretamente em qualquer um dos aplicativos instalados.

Em junho de 2017, a empresa de segurança Dr. Web informou que seus pesquisadores haviam encontrado o Triada embutido no firmware de vários dispositivos Android, incluindo o Leagoo M5 Plus, o Leagoo M8, o Nomu S10 e o Nomu S20. Como o backdoor foi incorporado em uma das bibliotecas do sistema operacional e localizado na seção do sistema, ele não poderia ser excluído usando métodos padrão.

Na quinta-feira, 6, após dois anos, o Google confirmou que a descoberta da empresa Dr. Web de fato é verdadeira, embora tenha evitado nomear os fabricantes afetados. O relatório do Google ainda disse que o ataque foi ocasionado por um ou mais parceiros das fabricantes na preparação do firmware para instalação no celular.

O Triada talvez seja um dos motivos pelos quais o Google implementou, no ano passado, um programa que exige que os fabricantes enviem seus firmwares para que eles sejam analisados pela empresa. “Um dos testes de segurança verifica os aplicativos potencialmente prejudiciais (PHA) pré-instalados incluídos no sistema”, escreveram funcionários do Google no relatório de segurança da empresa de 2018. “Se encontrarmos um PHA no sistema, trabalharemos em parceria com a fabricante para remediar e removê-lo do sistema antes que ele possa ser oferecido aos usuários.”

Mesmo com todas as medidas de segurança, o Google reconhece que se melhorar a segurança em uma área, os invasores certamente se adaptarão para explorar novas vulnerabilidades. “O caso Triada é um bom exemplo de como os desenvolvedores de malware do Android estão se tornando mais competentes”, escreveu Lukasz Siewierski, membro da equipe de segurança e privacidade do Android no Google.

Via: ARSTechnica