Android-Trojaner in Firmware eingebettet
6. August 2017
Der Trojaner „Android.Triada.231“ ist in die Systembibliothek libandroid_runtime.so integriert und wurde bereits auf mehreren infizierten Gerätetypen wie Leagoo M5 Plus, Leagoo M8, Nomu S10 und Nomu S20 entdeckt. Da libandroid_runtime.so von allen Android-Apps verwendet wird, befindet sich der Schadcode im Speicher aller gestarteten Apps. Dabei ist Android.Triada.231 bereits in den Code der Android-Firmware eingefügt und bettet sich, wie alle Trojaner der Familie Android.Triada, in den Systemprozess der Komponente „Zygote“ ein, welche für das Starten von Apps verantwortlich ist.
Dadurch ist der Trojaner in der Lage, sich in sämtliche Apps einzuschleusen, sich deren Rechte zu sichern und böswillige Module herunterzuladen und zu starten. So kann sich Android.Triada.231 in verschiedene Module einbetten und auf laufende Programme Einfluss nehmen. Virenschreiber können daher jedes Mal einen Befehl zum Herunterladen und Starten von böswilligen Plug-ins abgeben und dadurch Cyber-Spionage betreiben.
Da Android.Triada.231 in die Systembibliothek integriert ist und im Systemverzeichnis liegt, kann er mit Standard-Tools nicht entfernt werden. Lediglich die Installation einer neuen, schadlosen Android-Firmware behebt das Problem. Die Sicherheitsspezialisten von Doctor Web haben Hersteller von kompromittierten Geräten bereits benachrichtigt und empfehlen regelmäßige Updates der Firmware. (rhh)
