Analyse des Trida-Angriffs auf eine Android-Lieferkette

Publiziert am 24. Juli 2019 von Günter Born

Brian Krebs von Krebs on Security hat den Trida-Befall diverser Android-Apps im Google Play Store zum Anlass für eine Recherche genommen. Vermutlich hat er die Hintermänner des Angriffs in China enttarnt.

Anzeige

Im Juni 2019 befasste sich Google in diesem Artikel mit der Familie der Trida-Trojaner. Im Artikel gab Google bekannt, dass ein Angriff auf einen seiner Anbieter in der Lieferkette durch dazu führte, dass bösartige Software auf Millionen von neuen Android-Geräten vorinstalliert wurde. Der Hauptzweck der Triada-Apps war bzw. ist die Installation von Spam-Apps Zielgeräten. Die Apps blenden dann Werbeanzeigen ein, die den Entwicklern von Triada Einnahmen aus den Anzeigen, die von den Spam-Apps geschaltet wurden, einbringen.

Triada-Apps

Die von Triada verwendeten Methoden waren komplex und ungewöhnlich für diese Art von Apps. Triada-Apps begannen als Root-Trojaner, aber da Google Play Protect die Erkennung von Root-Angriffe verbesserte, waren Triada-Apps gezwungen, sich anzupassen. Ende Juni 2019 habe ich im Blog-Beitrag Triada-Trojaner in Firmware von Billig-Androiden gefunden berichtet, dass Trida-Apps auf günstigen Android-Geräten gefunden wurden.

Das Ganze wurde von Sicherheitsforschern des russischen Sicherheitsdienstleisters Dr.Web aufgedeckt, die sich bestimmte Billig-Smartphones mit Android vorgenommen haben. Konkret handelt es sich um Geräte wie Leagoo M5 Plus (und Leagoo M8) sowie Nomu S10 (und Nomu S20), wie Bleeping Computer hier berichtet.

Interessant ist die Frage, wer hinter dieser Kampagne steckt, um die Apps in der Lieferkette in die Firmware der Android-Geräte einzuschleusen. Google nannte damals die Verantwortlichen nicht. Es wurde nur ausgeführt, dass der Urheber unter dem Spitznamen "Yehuo" oder "Blazefire" agiert. Brian Krebs hat auf seiner Seite Krebs on Security in diesem Artikel einige Details recherchiert und vermutlich auch die Hintermänner in China identifiziert. Der Artikel gewährt tiefer Einblick in die Identität dieses chinesischen Anbieters, der eine lange und geschichtsträchtige Geschichte der Entwicklung mobiler Malware zu haben scheint.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.