Додека повеќето „Android“ вируси се шират преку сомнителни апликации, прилози во е-пошта или „APK“ датотеки од недоверливи веб-страници, најновото откритие покажува многу поопасен сценарио.
Истражувачите на „Kaspersky“ идентификуваа „Android“ задна врата наречена „Keenadu“, која била вградена директно во системскиот фирмвер за време на процесот на производство на уредот. Ова значи дека некои телефони и таблети биле инфицирани пред дури и да стигнат до клиентите.
„Android“ задна врата „Keenadu“ и компромитиран синџир на снабдување
Според анализата на „Kaspersky“, инфекцијата се случила за време на фазата на развој на фирмверот, кога библиотеката со малициозен софтвер била поврзана со системската компонента „libandroid_runtime.so“. Откако ќе се активира на уредот, малициозниот софтвер се инјектира во процесот „Zygote“, клучен дел од „Android“ системот одговорен за стартување апликации, што му дава исклучително високо ниво на привилегии. Во некои случаи, компромитираниот фирмвер дури бил доставен до корисниците преку „OTA“ ажурирања.
Истражувачите велат дека најверојатната причина за нападот е компромитирање на синџирот на снабдување. Една од фазите во развојот на фирмверот беше нарушена, што доведе до инјектирање на вирусот во изворниот код. Производителите на уреди очигледно не биле свесни дека нивните производи го содржат вирусот пред да бидат пуштени на пазарот.
Досега, околу 13.000 уреди се потврдени како инфицирани со оваа „задна врата“. Иако „Kaspersky“ не објави кои брендови или модели се засегнати, производителите се известени и се очекува да подготват чисти верзии на фирмверот преку ново ажурирање на системот.
„Google Play Protect“ и заштита на корисниците
Кога беа прашани што можат да направат корисниците ако имаат потенцијално заразен уред, од „Google“ тврдат дека повеќето нема да треба да преземат никакви дополнителни мерки. Според официјалното соопштение, „Android“ уредите што имаат сертификација „Play Protect“ се автоматски заштитени од познати варијанти на малициозниот софтвер „Keenadu“.
„Google“ вели дека „Play Protect“, кој е овозможен по дифолт на уредите со услуги на „Google Play“, може да ги предупреди корисниците и да ги оневозможи апликациите што покажуваат однесување поврзано со оваа задна врата, дури и ако доаѓаат надвор од „Play Store“. Како основна безбедносна мерка, на корисниците им се советува да проверат дали нивниот уред е сертифициран за „Play Protect“ и редовно да инсталираат ажурирања на системот.
Овој случај покажува дека заканите за екосистемот на „Android“ не доаѓаат исклучиво од грешки на корисниците, туку и од длабоко скриени фази на производство, што ја прави безбедноста на мобилните уреди посложена од кога било, објавува „Android Headline“.
