Các nhà nghiên cứu bảo mật cho biết vài mẫu điện thoại Android giá rẻ của Trung Quốc bị phát hiện cài sẵn mã độc Triada trong firmware.
Được thiết kế với mục tiêu đe dọa tài chính, Triada năm 2016 bị xem là mã độc di động hiện đại nhất vì nó có thể tự cài vào quy trình Zygote của Android, chạy mã trong tất cả ứng dụng. Đầu năm nay, nó bổ sung công nghệ sandbox (cụ thể là DroidPlugin) để tăng khả năng lẩn trốn.
Mã độc gần đây bị phát hiện được nhúng trong thư viện libandroid_runtime.so, có khả năng xâm nhập quá trình của mọi ứng dụng đang chạy mà không cần đặc quyền root máy. Thư viện bị chỉnh sửa được tìm thấy trên vài thiết bị di động, bao gồm Leagoo M5 Plus, Leagoo M8, Nomu S10 và Nomu S20 của Trung Quốc. Các chuyên gia giả định người trong công ty hay đối tác có tham gia trong quá trình viết firmware đã cài trojan này.
Triada theo dõi khi nào ứng dụng khởi động và cài mã độc ngay lập tức sau đó. Nó bí mật chạy vài mô-đun độc hại để tải các thành phần trojan khác. Phương thức này giúp chạy plugin độc hại nhằm đánh cắp thông tin bí mật và tài khoản ngân hàng, thực thi các chương trình gián điệp mạng hay can thiệp vào tin nhắn từ các ứng dụng nhắn tin, mạng xã hội.
Do được nhúng vào một trong các thư viện của hệ điều hành và đặt trong khu vực hệ thống, trojan không thể bị xóa theo cách thông thường. Biện pháp an toàn nhất và bảo đảm nhất là cài firmware Android “sạch”. Người dùng được khuyên cài đặt mọi bản vá được tung ra cho thiết bị.
Trong một trường hợp tương tự, nhà sản xuất điện thoại Blu của Mỹ đã bị gỡ thiết bị khỏi chương trình Amazon Prime vì bị tố cài mã độc theo dõi người dùng.
Theo Security Week