گوگل در سال ۲۰۱۷ , توانست از تلاش آسیبپذیری ترایادا با موفقیت پرهیز نماید و اکنون بعداز دو سال , گزارشی راجع به این مورد منتشر نموده است .
محققان گوگل روز پنجشنبه تأیید کردند مهاجمان غالب شده بودند سال ۲۰۱۷ , در پشتی ( Backdoor ) پیشرفتهای بهصورت پیشفرض روی دستگاههای اندرویدی نصب نمایند . این واقعه در یک کدام از روند ساخت چهره میداد ; زمانیکه دستگاهها هنوز از خطتولید کارخانهها خارج نیامده بودند . در سال ۲۰۱۶ , در مقالهای که اولینبار در کسپرسکی ( Kaspersky ) منتشر شد , از ترایادا ( Triada ) نام برده و گفته شد این بدافزار یکیاز پیشرفتهترین تروجانهای موبایلی است که تحلیلگران این موسسه فعال در حوزهی امنیت تابهحال به آن برخورد کردهاند .
انگیزه با اهمیت مهاجمان از نصب ترایادا , نصب برنامههایی بود که بتوان از آن ها برای ارسال هرمهها و نمایش آگهیهای تبلیغاتی به کار گرفت . این بدافزار از طریق مضاعف پیچیدهتری استعمال مینماید و دراینزمینه , از کیت گستردهای دربرگیرنده ابزارهای متعدد فایده می برد . این ابزارها اکسپلویتهای روتکنندهای دربر دارااست با قابلیت و امکان دورزدن روشهای امنیتی پیشفرض اندروید و هم ابزاری برای دستکاری فرایندهای حاذق زایگوت ( Zygote ) در سیستمعامل اندروید ; یعنی بدافزارها میتوانند بهصورت بی واسطه هر نرم افزار نصبشدهای را دستکاری نمایند . ترایادا دستکم به ۱۷ سرور فرماندهی و در دست گرفتن ( C&C Server ) متصل بود .
ژوئیهی۲۰۱۷ , Dr . Web گزارش اعطا کرد دانشمندان این موسسه فعال در حوزهی مساله امنیتی آسیبپذیری جدیدی بهنام ترایادا کشف کردهاند که بهصورت پیشفرض در فرمورهای چند نوع از دستگاههای اندرویدی نصب شدهاند . بعضی از این مدلها عبارت میباشند از : لیگو ام 5 پلاس ( Leagoo M5 Plus ) , نامو اس 20 ( Nomu S20 ) , لیگو ام 8 ( Leagoo M8 ) و نامو اس 10 ( Nomu S10 ) . مهاجمان از این در پشتی برای دانلود و نصب مخفیانهی ماژولهای متعدد به کارگیری میکردند . طبق این گزارش , زیرا این آسیبپذیری در یکی کتابخانههای سیستمعامل نصب و در بخش سیستم جایگذاری شده , نمیتوان آن را با روشهای معمول حذف کرد .
بعداز دو سال بی صدا , گوگل عاقبت روز پنجشنبه گزارش Dr . Web را تأیید و کارخانهی مسئول این آلودهسازی را معرفی کرد . گوگل درین گزارش گفت کارخانههایی که در آمادهسازی فولدر ایمیج آخرین از فرمور استفادهشده در دستگاههای تحتتاثیر شرکت کردن کردند , دراین یورش به زنجیرهی تأمین تقصیر کار بودند . لوکاس سیویرسکی , یکی اعضای گروه امنیت و اطراف فردی اندروید گوگل , دراینباره میگوید :
ترایادا ازطریق فرد ثالث و در زمان فرایندهای ساخت , ایمیجهای سیستمی دستگاهها ( System Images ) را کثیف می کرد . گهگاه رخداد می افتد تولیدکنندگان امکانات دارای اهمیت ( OEM ) بخواهند ویژگیهایی مثل تشخیص صورت را در محصولاتشان بگنجانند که جزء پروژهی متنباز اندروید نیستند . این تولیدکنندگان برای این کار از افراد ثالثی یاری میگیرند تا بتوانند ویژگیهایی مدنظر را توسعه و گسترش دهند و برای این کار , ایمیجی از کل سیستم را برای کمپانی دارای ربط ارسال میکردند . طبق این تجزیهوتحلیل , بر این باوریم که شرکتی بهنام Yehuo یا این که Blazefire , ایمیجهای بازگرداندهشده را به ترایادا کثیف می کرد .
گزارشی که روز پنجشنبه منتشر شد , توضیحاتی راجع به تجزیهوتحلیلهای قبلی درزمینهی ویژگیهایی را دربرمیگرفت که منجر پیچیدگی بیشازحد ترایادا شده بود . بهعنوان نمونه , ترایادا از فایلهای ZIP و XOR برای کد گذاری ارتباطات به کار گیری یا این که کدها را وارد اپلیکیشنهای رابط کاربری سیستم مینماید تا اجازهی نمایش به آگهیهای تبلیغاتی را بدهد . همینطور , این آسیبپذیری کدهایی وارد سیستم می نماید که قابلیت و امکان به کار گیری از گوگلپلی را برای دانلود و نصب برنامههای مدنظر تهاجمی مهیا مینماید .
سیویرسکی مینویسد :
برنامهها از سرورهای C&C دانلود و ارتباط ها در بین آن ها با سرورها ازطریق روال شبیه و به کارگیری از ZIP و XOR دوگانه کد گذاری میشود . برنامههای دانلود و نصبشده از اسامی اپلیکیشنهای غیرمشهور در گوگلپلی به کار گیری میکردند . بهجز نام شبیه , هیچ رابطهی دیگری فی مابین آن ها و اپلیکیشنهای مو جود در گوگلپلی وجود نداشت .
مایک کرامپ , پژوهشگر ارشد امنیتی در کمپانی Zimperium , ارائهدهندهی سرویس ها امنیتی برای
درباره این سایت