Google xác nhận nhiều thiết bị Android bị cài sẵn backdoor nguy hiểm từ lúc xuất xưởng

Hôm thứ 5 vừa qua,ácnhậnnhiềuthiếtbịAndroidbịcàisẵnbackdoornguyhiểmtừlúcxuấtxưởxem lịch các nhà nghiên cứu Google vừa xác nhận rằng vào năm 2017, một nhóm tội phạm mạng đã tìm cách cài đặt sẵn một backdoor nguy hiểm lên nhiều thiết bị Android trước khi chúng được chuyển khỏi nhà máy sản xuất để đưa ra thị trường.

Backdoor này có tên là Triada, bị phơi bày lần đầu vào năm 2016 trong các bài viết xuất bản bởi Kaspersky. Công ty bảo mật này nói rằng Triada là "một trong những Trojan di động tiên tiến nhất thế giới" mà họ từng gặp phải. Một khi cài đặt thành công, Triada sẽ cài đặt các ứng dụng khác lên thiết bị của người dùng để spam và hiển thị quảng cáo. Nó còn triển khai một bộ công cụ khá ấn tượng, bao gồm một ứng dụng lợi dụng quyền root để vượt qua các hàng rào bảo mật được tích hợp sẵn trong Android, qua đó chỉnh sửa tiến trình Zygote - vốn là một tiến trình có quyền rất cao của hệ điều hành này. Điều đó có nghĩa là malware này có thể trực tiếp can thiệp vào mọi ứng dụng đã cài đặt. Triado còn kết nối với ít nhất 17 máy chủ điều khiển và ra lệnh trên toàn cầu.

Vào tháng 7/2017, công ty bảo mật Dr. Web báo cáo rằng các nhà nghiên cứu của họ đã tìm thấy Triada hiện diện trong firmware của nhiều thiết bị Android, bao gồm Leagoo M5 Plus, Leagoo M8, Nomu S10 và Nomu S20. Những kẻ tấn công đã dùng backdoor để lén lút tải về và cài đặt các mô-đun. Bởi backdoor được nhúng sẵn vào một trong các thư viện của hệ điều hành và nằm trong khu vực hệ thống, nên nó không thể bị xóa theo các phương thức thông thường.

Google đã xác nhận báo cáo của Dr. Web, tuy nhiên hãng lại không nêu rõ tên của các nhà sản xuất có thiết bị bị cài backdoor. Google còn cho biết cuộc tấn công vào chuỗi cung ứng đã được tiến hành bởi một trong nhiều đối tác mà các nhà sản xuất làm việc cùng trong quá trình chuẩn bị tập tin hình ảnh firmware hoàn chỉnh - chính là các firmware được cài lên các thiết bị bị ảnh hưởng. Lukasz Siewierski, một thành viên trong nhóm bảo mật Android của Google, viết rằng:

"Triada lây nhiễm các tập tin ảnh hệ thống thiết bị thông qua một bên thứ 3 trong quá trình sản xuất. Đôi lúc các OEM muốn thêm vào các tính năng vốn không nằm trong AOSP, như mở khóa bằng khuôn mặt chẳng hạn. Lúc đó, OEM sẽ hợp tác với một bên thứ ba có khả năng phát triển tính năng họ muốn và gửi toàn bộ tập tin ảnh hệ thống cho công ty đó để phát triển.

Dựa trên kết quả phân tích, chúng tôi tin rằng một công ty với tên gọi là Yehuo hay Blazefire đã cắm Triada vào tập tin hình ảnh hệ thống trả lại cho OEM.