谷歌首次承认Triada恶性病毒的存在 采用预装手段注入安卓核心组件
早在 2016 年蓝点网就提到俄罗斯反病毒软件开发商卡巴斯基追踪到名为特里亚达 (Triada) 的安卓木马病毒。
这款安卓平台使用极其复杂的解决方案几乎让反病毒软件束手无策,而这个木马病毒在这些年里也持续活跃。
例如在 2017 年时大蜘蛛反病毒实验室也发现该特里亚达,当时该病毒通过预装手段在部分廉价设备里出现。
到 2018 年时特里亚达的预装范围明显扩大,大蜘蛛反病毒实验室在超过40款廉价安卓设备里检测到该病毒。
谷歌官方首次在安全博客里详细介绍特里亚达病毒前生今世,不过不清楚为什么谷歌到现在才愿意公开讨论。
谷歌表示最初的特里亚达主要依靠自动root安卓系统获得高级权限,获得权限后主要用来弹广告和收集信息。
在前些年谷歌发现这个病毒后使用 Google Play Protect 保护程序自动清除用户设备上已被感染的特里亚达。
然后病毒开发者也发现以前的手段不奏效,于是想出通过预装手段直接在 OEM 固件中内置让用户无法删除。
这也是为什么安卓平台的反病毒软件束手无策的原因,理论上这个木马病毒还可以直接删掉各种反病毒软件。
对于谷歌来说比较失望的是这个病毒竟然能直接注入到安卓核心框架中,当然该病毒使用的方案也非常复杂。
当年卡巴斯基和大蜘蛛都表示这是近年来非常复杂的病毒,只用来收集用户信息和弹广告似乎有点大材小用。
当然让谷歌惊讶的还有部分安卓设备制造商竟然允许外包供应商随意添加插件,这些制造商都没有检测安全。
这种情况让特里亚达成功潜进安卓系统并直达核心框架,常见的恶意行为主要是劫持各种应用然后弹广告等。
被劫持的应用主要包括安卓系统内置浏览器、360浏览器、OPERA欧朋浏览器和猎豹移动旗下的猎豹浏览器。
从劫持的应用来看估计大家也猜到背后攻击者是国内公司,蓝点网查询后发现该公司主要以游戏为主营业务。
不知道这个公司是不是前几年靠制作病毒起家现在已经洗白,不过大蜘蛛和谷歌都已确定该公司为幕后黑手。
谷歌表示部分厂商没有能力定制自己的固件,因此将部分业务外包给其他公司节省人力物力但也存在着隐患。
最主要的就是厂商必须对定制的固件进行检查以验证是否有安全问题,特里亚达木马病毒就是最明显的案例。
谷歌现在也面向厂商推出系统映像审核服务,厂商可以将定制的固件上传到谷歌进行自动检测排查隐性问题。
不过蓝点网猜测这些厂商多半也知道捆绑的东西存在问题,只不过本身捆绑可能已经付费所以厂商不会反对。
这种情况在此前的廉价安卓设备制造商BLE 的设备里已出现过,所以即便谷歌推出审核服务估计也没什么用。