Новый вирус Android.Triada.231 был обнаружен в прошивке сразу нескольких устройств с операционной системой Android, сообщила пресс-служба компании Dr.Web. Аналитики отмечают, что вредоносная программа была встроена в гаджеты Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20 изначально.
За счет заражения Zygote вредонос внедряется в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое.
Троян Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so.
Модифицированная версия библиотеки была обнаружена сразу на нескольких мобильных устройствах. В частности, это смартфоны Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Библиотека libandroid_runtime.so используется всеми приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений.
Малварь встроена в libandroid_runtime.so таким образом, что получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск трояна происходит именно через нее.
В результате Android.Triada.231 способен внедрять практически любые троянские модули в процессы любых программ и влиять на их работу. К примеру, операторы малвари могут отдать команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальных данных и информации из банковских приложений, модулей для кибершпионажа, перехвата переписки из клиентов социальных сетей, интернет-мессенджеров и так далее.
Также троян способен извлекать из библиотеки libandroid_runtime.so модуль Android.Triada.194.origin. Его основная функция — загрузка дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.
Исследователи отмечают, что удалить троян стандартными методами не получится, придется перепрошивать устройство с нуля, заведомо «чистой» прошивкой.
