گوگل نصب Backdoor در گوشی‌های اندرویدی بعضا کارخانه‌ها را تأیید کرد

گوگل در سال ۲۰۱۷ , توانست از تلاش آسیب‌پذیری ترایادا با موفقیت پرهیز نماید و اکنون بعداز دو سال , گزارشی راجع به این مورد منتشر نموده است .

محققان گوگل روز پنجشنبه تأیید کردند مهاجمان غالب شده بودند سال ۲۰۱۷ , در پشتی ( Backdoor ) پیشرفته‌ای به‌صورت پیش‌فرض روی دستگاه‌های اندرویدی نصب نمایند . این واقعه در یک کدام از روند ساخت چهره می‌داد ; زمانی‌که دستگاه‌ها هنوز از خط‌تولید کارخانه‌ها خارج نیامده بودند . در سال ۲۰۱۶ , در مقاله‌ای که اولین‌بار در کسپرسکی ( Kaspersky ) منتشر شد , از ترایادا ( Triada ) نام برده و گفته شد این بدافزار یکی‌از پیشرفته‌ترین تروجان‌های موبایلی است که تحلیلگران این موسسه فعال در حوزه‌ی امنیت تا‌به‌حال به آن برخورد کرده‌اند .

انگیزه با اهمیت مهاجمان از نصب ترایادا , نصب برنامه‌هایی بود که بتوان از آن ها برای ارسال هرزنامه‌ها و نمایش آگهی‌های تبلیغاتی به کار گرفت . این بدافزار از طریق مضاعف پیچیده‌تری استعمال می‌نماید و در‌این‌زمینه , از کیت گسترده‌ای دربرگیرنده ابزارهای متعدد فایده می برد . این ابزارها اکسپلویت‌های روت‌کننده‌ای دربر دارااست با قابلیت و امکان دورزدن روش‌های امنیتی پیش‌فرض اندروید و هم ابزاری برای دست‌کاری فرایندهای حاذق زایگوت ( Zygote ) در سیستم‌عامل اندروید ; یعنی بدافزارها میتوانند به‌صورت بی واسطه هر نرم افزار نصب‌شده‌ای را دست‌کاری نمایند . ترایادا دستکم به ۱۷ سرور فرماندهی و در دست گرفتن ( C&C Server ) متصل بود .

ژوئیه‌ی۲۰۱۷ , Dr . Web گزارش اعطا کرد دانشمندان این موسسه فعال در حوزه‌ی مساله امنیتی آسیب‌پذیری جدیدی به‌نام ترایادا کشف کرده‌اند که به‌صورت پیش‌فرض در فرم‌ورهای چند نوع از دستگاه‌های اندرویدی نصب شده‌اند . بعضی از این مدل‌ها عبارت میباشند از : لیگو ام 5 پلاس ( Leagoo M5 Plus ) , نامو اس 20 ( Nomu S20 ) , لیگو ام 8 ( Leagoo M8 ) و نامو اس 10 ( Nomu S10 ) . مهاجمان از این در پشتی برای دانلود و نصب مخفیانه‌ی ماژول‌های متعدد به کارگیری می‌کردند . طبق این گزارش , زیرا این آسیب‌پذیری در یکی کتابخانه‌های سیستم‌عامل نصب و در بخش سیستم جای‌گذاری شده , نمیتوان آن را با روش‌های معمول حذف کرد .

بعداز دو سال بی صدا , گوگل عاقبت روز پنج‌شنبه گزارش Dr . Web را تأیید و کارخانه‌ی مسئول این آلوده‌سازی را معرفی کرد . گوگل درین گزارش گفت کارخانه‌هایی که در آماده‌سازی فولدر ایمیج آخرین از فرم‌ور استفاده‌شده در دستگاه‌های تحت‌تاثیر شرکت کردن کردند , در‌این یورش به زنجیره‌ی تأمین تقصیر کار بودند . لوکاس سیویرسکی , یکی اعضای گروه امنیت و اطراف فردی اندروید گوگل , دراین‌باره میگوید :

ترایادا ازطریق فرد ثالث و در زمان فرایندهای ساخت , ایمیج‌های سیستمی دستگاه‌ها ( System Images ) را کثیف می کرد . گهگاه رخداد می‌ افتد تولیدکنندگان امکانات دارای اهمیت ( OEM ) بخواهند ویژگی‌هایی مثل تشخیص صورت را در محصولاتشان بگنجانند که جزء پروژه‌ی متن‌باز اندروید نیستند . این تولیدکنندگان برای این کار از افراد ثالثی یاری میگیرند تا بتوانند ویژگی‌هایی مدنظر را توسعه و گسترش دهند و برای این کار , ایمیجی از کل سیستم را برای کمپانی دارای ربط ارسال می‌کردند . طبق این تجزیه‌و‌تحلیل , بر این باوریم که شرکتی به‌نام Yehuo یا این که Blazefire , ایمیج‌های بازگردانده‌شده را به ترایادا کثیف می کرد .

گزارشی که روز پنجشنبه منتشر شد , توضیحاتی راجع به تجزیه‌وتحلیل‌های قبلی درزمینه‌ی ویژگی‌هایی را دربرمی‌گرفت که منجر پیچیدگی بیش‌ازحد ترایادا شده بود . به‌عنوان نمونه , ترایادا از فایل‌های ZIP و XOR برای کد گذاری ارتباطات به کار گیری یا این که کدها را وارد اپلیکیشن‌های رابط کاربری سیستم مینماید تا اجازه‌ی نمایش به آگهی‌های تبلیغاتی را بدهد . همینطور , این آسیب‌پذیری کدهایی وارد سیستم می نماید که قابلیت و امکان به کار گیری از گوگل‌پلی را برای دانلود و نصب برنامه‌های مدنظر تهاجمی مهیا مینماید .

سیویرسکی می‌نویسد :

برنامه‌ها از سرورهای C&C دانلود و ارتباط ها در بین آن ها با سرورها ازطریق روال شبیه و به کارگیری از ZIP و XOR دوگانه کد گذاری میشود . برنامه‌های دانلود و نصب‌شده از اسامی اپلیکیشن‌های غیرمشهور در گوگل‌پلی به کار گیری می‌کردند . به‌جز نام شبیه , هیچ رابطه‌ی دیگری فی مابین آن ها و اپلیکیشن‌های مو جود در گوگل‌پلی وجود نداشت .

مایک کرامپ , پژوهشگر ارشد امنیتی در کمپانی Zimperium , ارائه‌دهنده‌ی سرویس ها امنیتی برای