Frankfurt, 1. März 2018

Mitte 2017 berichteten die Virenanalysten von Doctor Web vom neuen Trojaner Android.Triada.231, der in Firmware einiger Android-Smartphones eingebettet ist. Die Liste der infizierten Geräte wurde immer wieder erweitert und zählt heute über 40 Modelle. Der Trojaner wurde nun von den Doctor Web Virenanalysten erforscht.

Android.Triada.231 ist ein Vertreter der gefährlichen Trojanerfamilie Android.Triada. Diese infizieren den Prozess einer wichtigen Systemkomponente unter dem Namen Zygote, welche am Starten aller Apps beteiligt ist. Nach der Einschleusung dringen Trojaner in Prozesse anderer Apps ein und sind dann in der Lage, Aktionen ohne Wissen des Nutzers durchzuführen. So kann der Schädling andere Malware herunterladen und installieren. Die Besonderheit von Android.Triada.231 besteht darin, dass Virenschreiber den Schädling in die Bibliothek libandroid_runtime.so auf Ebene des Quellcodes integrieren und nicht als Einzelsoftware verbreiten. Auf diese Weise nistet sich der Bösewicht in die Firmware der Smartphones schon bei deren Herstellung ein.

Nachdem Android.Triada.231 letzten Sommer entdeckt wurde, wurden alle betroffenen Hersteller darüber informiert. Trotz der Warnung gelangt der Trojaner immer noch auf neue Modelle von Smartphones. So wurde er z.B. in Leagoo M9 entdeckt, der im Dezember 2017 angekündigt wurde. Die Analyse zeigte, dass der Schädling ins Leagoo-Smartphone auf den Hinweis eines Softwareentwicklers aus Shanghai eingebettet wurde. Dieser bat den Hersteller, einen Schadcode in Systembibliotheken vor der Kompilation zu integrieren. Diese Bitte erweckte beim Hersteller keinen Verdacht und der Schädling konnte sich auf diese Weise in die Firmware der Leagoo-Smartphones einschleusen.

Die Analyse der App für Leagoo M9 zeigte, dass sie mit dem gleichen Zertifikat wie bei dem Trojaner Android.MulDrop.924signiert ist. Darüber wurde bereits 2016 berichtet. Das lässt darauf schließen, dass der Entwickler des Schädlings auch bei der Verbreitung von Android.Triada.231 mitgewirkt hat.

Zum jetzigen Zeitpunkt konnten die Malwareanalysten von Doctor Web den Schädling Android.Triada.231 in der Firmware von über 40 Android-Modellen entdecken:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

Diese Liste ist nicht vollständig und kann durchaus noch länger sein.

Eine weite Verbreitung von Android.Triada.231 zeugt davon, dass einige Hersteller von Android-Geräten keinen grossen Wert auf Sicherheit legen und die Einbettung von Schadcode zur gängigen Praxis gehört.

Dr.Web Produkte für Android erkennen alle bekannten Versionen von Android.Triada.231. Um herauszufinden, ob Ihr Gerät infiziert ist, führen Sie bitte eine Malwareprüfung durch. Mit root-Privilegien ist Dr.Web Security Space für Android auch in der Lage, Android.Triada.231 Um herauszufinden, ob Ihr Gerät infiziert ist, führen Sie bitte eine Malwareprüfung durch. Mit root-Privilegien ist Dr.Web Security Space für Android auch in der Lage,

Mehr zum Trojanerthis Trojan