繼俄羅斯安全公司卡巴斯基3年前首次公開報告之後,今天谷歌安全部落格發文稱透過他們的供應鏈已經確認部分Android裝置的韌體更新已經被感染,以便於駭客安裝惡意程式。駭客利用名為“Triada”的惡意程式感染這些韌體,卡巴斯基於2016年3月的官方部落格中首次描述了這種惡意軟體。
該惡意程式可以和眾多命令、控制中心進行通訊,並允許安裝可用於傳送垃圾郵件和顯示廣告的應用程式。2017年7月,反病毒廠商Dr Web發現Triada被內建到許多Android裝置的韌體中,其中包括Leagoo M5 Plus,Leagoo M8,Nomu S10和Nomu S20等等。而且由於該惡意程式屬於作業系統本身,因此無法輕鬆刪除。
谷歌在博文中寫道:“Triada的建立者透過垃圾應用上顯示的廣告來牟利。和其他同類惡意軟體相比,Triada更加複雜且不常見。Triada是從rooting trojans木馬發展而來的,但隨著Google Play Protect對防禦這種攻擊的增強,Triada惡意程式被迫轉型以系統映象後門方式進行感染。但是,由於OEM合作和我們的推廣工作,原始裝置製造商準備了系統映像,其安全更新消除了Triada感染。”
儘管Siewierski在博文中並未提及具體的手機型號,但是提到了幾家已經受到感染的手機廠商名稱。他表示:“Triada在量產環節中透過第三方來感染裝置系統映象。有時OEM廠商希望包含不屬於Android開源專案的功能,例如面部解鎖等。”
他表示:“OEM可能會與可以開發所需功能的第三方合作,並將整個系統映像傳送給該供應商進行開發。基於分析,我們認為使用Yehuo或Blazefire的供應商返回了感染Triada惡意程式的系統韌體。”
繼俄羅斯安全公司卡巴斯基3年前首次公開報告之後,今天谷歌安全部落格發文稱透過他們的供應鏈已經確認部分Android裝置的韌體更新已經被感染,以便於駭客安裝惡意程式。駭客利用名為“Triada”的惡意程式感染這些韌體,卡巴斯基於2016年3月的官方部落格中首次描述了這種惡意軟體。
該惡意程式可以和眾多命令、控制中心進行通訊,並允許安裝可用於傳送垃圾郵件和顯示廣告的應用程式。2017年7月,反病毒廠商Dr Web發現Triada被內建到許多Android裝置的韌體中,其中包括Leagoo M5 Plus,Leagoo M8,Nomu S10和Nomu S20等等。而且由於該惡意程式屬於作業系統本身,因此無法輕鬆刪除。
谷歌在博文中寫道:“Triada的建立者透過垃圾應用上顯示的廣告來牟利。和其他同類惡意軟體相比,Triada更加複雜且不常見。Triada是從rooting trojans木馬發展而來的,但隨著Google Play Protect對防禦這種攻擊的增強,Triada惡意程式被迫轉型以系統映象後門方式進行感染。但是,由於OEM合作和我們的推廣工作,原始裝置製造商準備了系統映像,其安全更新消除了Triada感染。”
儘管Siewierski在博文中並未提及具體的手機型號,但是提到了幾家已經受到感染的手機廠商名稱。他表示:“Triada在量產環節中透過第三方來感染裝置系統映象。有時OEM廠商希望包含不屬於Android開源專案的功能,例如面部解鎖等。”
他表示:“OEM可能會與可以開發所需功能的第三方合作,並將整個系統映像傳送給該供應商進行開發。基於分析,我們認為使用Yehuo或Blazefire的供應商返回了感染Triada惡意程式的系統韌體。”