Em 2017, alguns cibercriminosos conseguiram pré-instalar um backdoor avançado em alguns dispositivos Android antes mesmo dos telefones saírem das fabricas. Tal incidente foi confirmado por investigadores do Google.

O backdoor Triada apareceu pela primeira vezm em 2016, em artigos publicados pela Kaspersky, onde afirmava que o malware era ‘um dos trojans para smartphones mais avançados’. Uma vez instalado, o seu objetivo era permitir a instalação de aplicativos que poderiam ser utilizados para enviar spam e mostrar anúncios na tela. Para isso, ele se conectava a nada menos que 17 servidores de controle.

Em julho de 2017, a empresa de segurança Dr. Web informou que os seus investigadores encontraram o Triada integrado no firmware de vários dispositivos Android. Os atacantes usaram a backdoor para o download e instalação de módulos de software, além de injetar um código que permite utilizar aplicativos da Google Play para realizar o download e a instalação de aplicativos de livre escolha dos atacantes.

 

 

Vivia escondido, mas pronto para instalar programas que você não pediu

 

Pelo fato dessa backdoor estar incrustada em uma de suas bibliotecas do sistema operacional e localizada na seção do sistema, não era possível eliminar essa ameaça com métodos padrão.

Agora, o Google confirmou o relatório do Dr. Web, mas sem mencionar fabricantes de dispositivos. O relatório também afirma que o ataque aconteceu por um ou mais parceiros que os fabricantes de smartphones utilizavam para preparar a imagem final do firmware dos dispositivos afetados.

O Triada infectava as imagens do sistema do dispositivo através de terceiros durante o processo de produção. Às vezes os fabricantes de equipamentos originais desejam incluir funções que não fazem parte do projeto Android Open Source Project, como por exemplo o recurso de desbloqueio facial. O OEM pode ser associado com um desenvolvedor de terceiro, que pode criar a característica desejada e enviar a imagem completa do sistema para esse provedor, para o seu desenvolvimento.

Como o Google não revelou a lista de fabricantes envolvidos, não dá para saber qual foi a extensão do problema. Mas desconfie de marcas muito desconhecidas ao redor do mundo.