Ovaj Android virus je već bio na vašem uređaju i pre nego što ste ga kupili

Iako se većina Android virusa širi putem sumnjivih aplikacija, mejl priloga ili APK fajlova sa nepouzdanih sajtova, najnovije otkriće pokazuje znatno opasniji scenario. Istraživači kompanije Kaspersky identifikovali su Android bekdor nazvan Keenadu, koji je bio ugrađen direktno u sistemski firmver još tokom procesa izrade uređaja. To znači da su pojedini telefoni i tableti bili zaraženi i pre nego što su uopšte dospeli u ruke kupaca.

Android bekdor Keenadu i kompromitovan lanac isporuke

Prema analizi Kasperskog, infekcija se dogodila u fazi izrade firmvera, kada je biblioteka sa malverom povezana sa sistemskom komponentom libandroid_runtime.so. Nakon aktivacije na uređaju, malver se ubacuje u Zygote proces, ključni deo Android sistema zadužen za pokretanje aplikacija, što mu daje izuzetno visok nivo privilegija. U nekim slučajevima, kompromitovani firmver je korisnicima isporučen čak i putem OTA ažuriranja.

Istraživači navode da je najverovatniji uzrok napada kompromitacija lanca isporuke. Jedna od faza u razvoju firmvera bila je narušena, što je dovelo do ubacivanja virusa u izvorni kod. Proizvođači uređaja, prema svemu sudeći, nisu bili svesni da njihovi proizvodi sadrže virus pre izlaska na tržište.

Do sada je potvrđeno da je oko 13.000 uređaja zaraženo ovim „bekdorom“. Iako Kaspersky nije objavio koji su brendovi ili modeli pogođeni, proizvođači su obavešteni i očekuje se da pripreme čiste verzije firmvera kroz novo ažuriranje sistema.

Google Play Protect i zaštita korisnika

Na pitanje šta korisnici mogu da urade ako poseduju potencijalno zaražen uređaj, Google tvrdi da većina neće morati ništa dodatno da preduzima. Prema zvaničnoj izjavi, Android uređaji koji imaju Play Protect sertifikaciju automatski su zaštićeni od poznatih varijanti malvera Keenadu.

Google navodi da Play Protect, koji je standardno aktivan na uređajima sa Google Play servisima, može da upozori korisnike i onemogući aplikacije koje ispoljavaju ponašanje povezano sa ovim bekdorom, čak i ako dolaze van Play prodavnice. Kao osnovnu bezbednosnu meru, korisnicima se preporučuje da provere da li je njihov uređaj Play Protect sertifikovan i da redovno instaliraju sistemska ažuriranja.

Ovaj slučaj pokazuje da pretnje po Android ekosistem ne dolaze isključivo od korisničkih grešaka, već i iz duboko skrivenih faza proizvodnje, što bezbednost mobilnih uređaja čini kompleksnijom nego ikada ranije, prenosi Android Headline.