谷歌剖析 Triada 安卓病毒：在手机发售前感染系统镜像

  继俄罗斯安全公司卡巴斯基 3 年前首次公开报告之后，今天谷歌安全博客发文称通过他们的供应链已经确认部分 Android 设备的固件更新已经被感染，以便于黑客安装恶意程序。黑客利用名为“Triada”的恶意程序感染这些固件，卡巴斯基于 2016 年 3 月的官方博客中首次描述了这种恶意软件。

  该恶意程序可以和众多命令、控制中心进行通信，并允许安装可用于发送垃圾邮件和显示广告的应用程序。2017年7月，反病毒厂商 Dr Web 发现 Triada 被内置到许多 Android 设备的固件中，其中包括 Leagoo M5 Plus，Leagoo M8，Nomu S10 和 Nomu S20 等等。而且由于该恶意程序属于操作系统本身，因此无法轻松删除。

  谷歌 Android 安全和隐私团队成员 Lukasz Siewierski 于周四发布了一篇详细的博客文章，证实了 Web 博士近两年前的报道。他在博文中写道 “Triada 应用程序的主要目的是在显示广告的设备上安装垃圾应用程序。”

  谷歌在博文中写道：“Triada 的创建者通过垃圾应用上显示的广告来牟利。和其他同类恶意软件相比，Triada 更加复杂且不常见。Triada 是从 rooting trojans 木马发展而来的，但随着 Google Play Protect 对防御这种攻击的增强， Triada 恶意程序被迫转型以系统镜像后门方式进行感染。但是，由于 OEM 合作和我们的推广工作，原始设备制造商准备了系统映像，其安全更新消除了 Triada 感染。”

尽管 Siewierski 在博文中并未提及具体的手机型号，但是提到了几家已经受到感染的手机厂商名称。他表示：“Triada在量产环节中通过第三方来感染设备系统镜像。有时 OEM 厂商希望包含不属于 Android 开源项目的功能，例如面部解锁等。”

  他表示：“OEM 可能会与可以开发所需功能的第三方合作，并将整个系统映像发送给该供应商进行开发。基于分析，我们认为使用 Yehuo 或 Blazefire 的供应商返回了感染 Triada 恶意程序的系统固件。”