Android telefony v ohrožení, můžou mít vir už z výroby!

Android telefony v ohrožení - vir Triada

Podle Googlu můžou obsahovat viry i úplně nové telefony, které se ještě ani nedostaly do ruky zákazníkům. Ty tam sice nenainstalovali samotní výrobci, ale svým neopatrným přístupem přispěli, že jsou vybrané Android telefony v ohrožení. Mnohem více se to sice týká jiných trhů, ale některé z telefonů s malwarem se dostaly na i na ten český. Ačkoliv se nejedná o novinku, stále je spousta uživatelů v ohrožení. Kdo škodlivé kódy do nových smartphonů vkládá a co můžou způsobit?

O jaký vir se jedná a jak se projevuje?

Firma Dr. Web odhalila, že některé mobily obsahují trojského koně jménem Triada (nejrozšířenější je Android.Triada.231, ale existuje v desítkách dalších podob), což později potvrdila i společnost Kaspersky Lab. Na telefonech, které malware Triada infikuje, dokáže instalovat aplikace bez vědomí uživatele za účelem zobrazování spamu nebo reklam. Škodlivý kód ale obsahuje i řadu dalších nástrojů, s jejichž pomocí obejde zabezpečení systému a získá práva root nebo modifikuje OS.

Vir Triada - Android telefony

Výsledkem bylo, že mohl trojský kůň Android.Triada.231 manipulovat se všemi nainstalovanými aplikacemi, stahovat je a zase mazat aj. Příkazy dostával malware ze 17 různých serverů, což jeho odhalení i odstranění značně zkomplikovalo. Že se takové chování na telefonech skutečně projevilo dokazuje i případ, který se stal asi před 1,5 rokem v Číně. Mobil uživatelce sám rezervoval a zaplatil pobyt v luxusním hotelu, ačkoliv ona sama ale nic takového neprovedla ani se na hotel nikdy nedívala.

Výrobce je z obliga, za vir v mobilu nemůže

Mnozí si mysleli, že si chtějí výrobci vložením škodlivého kódu do telefonu přivydělat, ať už prodejem dat nebo jinou neplechou. Šetření Googlu ale ukázalo, že sami výrobci kód nevkládají. Ve všech případech za to může třetí strana, potažmo vývojáři některých funkcí, které jsou dostupné pouze v nadstavbách daných výrobců. Jako případ si uveďme funkci odemykání obličejem (nikoli Face ID od Applu, ale pomocí přední kamery).

Android telefony - vir - schéma

Které telefony jsou v ohrožení? Miliony

Zdálo by se, že tahle nedávno znovu zmíněná kauza nahrává do karet americkému prezidentovi, který označil za bezpečnostní hrozbu Huawei. Toho se ale problémy podle všeho netýkají. Ve většině případů byly nakaženy smartphony méně známých čínských výrobců, jmenovitě se jedná o vybrané modely telefonů Leagoo, Nomu, Doogee, Blackview, HomTom atd. Největší hrozbou je vir Triada pro telefony se starým Androidem 4.4.4 nebo starším, to ale neznamená, že jsou dnešní telefony mimo hru.

Přesný seznam nakažených zařízení ale Google nezveřejnil, upřesnil ale, že jde „pouze“ o telefony vyrobené mezi lety 2016 a 2018. Podle Kaspersky Lab se může jednat o každý 10. z několika milionů. Dr.Web potom doplnil seznam 40 telefonů, u nichž se mu podařilo Triadu identifikovat:

  • Leagoo M5, Leagoo M5 Plus, Leagoo M5 Edge, Leagoo M8, Leagoo M8 Pro, Leagoo Z5C, Leagoo T1 Plus, Leagoo Z3C, Leagoo Z1C, Leagoo M9
  • Doogee X5 Max, Doogee X5 Max Pro, Doogee Shoot 1, Doogee Shoot 2
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G, Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT, Advan S4Z, Advan i5E
  • STF AERIAL PLUS, STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5, Cherry Mobile Flare J2S, Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ-5510 Strike Power Max 4G (Russia)

Proti viru Triada se můžete bránit

Prvním krokem by mělo být skenování telefonu antivirovým programem, já používám Avast na více zařízeních a všechno vypadá v pořádku (doufám). Virus Triada ale nemusí být vždy objeven (zejména na starém OS), takže je jistější přejít do nouzového režimu a telefon obnovit do továrního nastavení. Odinstalací aplikací si bohužel nepomůžete, protože jakmile Triada telefon nakazí, dostane se do všech aplikací (včetně těch systémových).

Malware objevili v roce 2017, odstranění trvalo rok

Že některé telefony obsahují škodlivý kód upozornil v roce 2017 web Dr. Web (Kaspersky Lab se zmiňuje už o rok dříve), který jmenoval např. Leagoo M5 Plus, Leagoo M8, Nomu S10 nebo Nomu S20. Ano, u nás opravdu méně známé značky, ale třeba Leagoo lákalo na skvělé parametry za nízkou cenu, takže se jich i na český trh dostalo dost. Že takový problém existuje Google dlouho skrýval, pravděpodobně i proto, že se mu nedařilo v šíření zamezit.

Triada - Zygote trojský kůň

S řešením tedy přišel až v roce 2018, což uvedl i v každoročním přehledu o bezpečnosti Android Security & Privacy. Následně kontaktoval jednotlivé výrobce, u nichž byl malware zjištěn. Ti potom poslali na své telefony aktualizaci, která problémy úplně odstranila. Všechny mobilní telefony s Androidem už by tak měly být maximálně zabezpečeny a bez jakéhokoliv škodlivého kódu třetí strany. Google dodal, že všechny funkce od vývojářů už musí procházet schvalovacím procesem a testováním.

Setkali jste se s virem Triada?

Zdroj: arstechnica.com, media.kasperskydaily.com, news.drweb.com

Lukáš Altman
O Autorovi - Lukáš Altman

Ahoj. Baví mě technologie a aplikace, které usnadňují každodenní život. Ve své tvorbě rád používám konstruktivní kritiku, fandím značkám jako Huawei, Honor nebo Xiaomi. více o autorovi

Mohlo by vás zajímat

Komentáře (19)