Google подтвердил, что недавнее массовое заражение телефонов на базе Android усовершенствованным вариантом трояна Triada (Android.Triada.231) было связано с обширным компромиссом в цепочке поставок программного обеспечения, который предустановил вредоносный код на устройствах до того, как они поступили в продажу на рынке.
Современные цепочки поставок очень подвержены влиянию глобализации, что увеличивает потенциальный риск компрометации программного обеспечения, операционной системы и оборудования независимо от того, где находится компания.
Хотя этот вариант трояна Triada затронул несколько производителей устройств Android, атака не смогла обойти меры контроля качества или протоколы разработки программного обеспечения BlackBerry. Также не было затронуто ни одного устройства BlackBerry — свидетельство агрессивного подхода компании к обеспечению безопасности и миссии по внедрению безопасности в каждый продукт на уровне производства.
Технический директор Чарльз Иган (Charles Eagan) отметил, что BlackBerry часто обсуждает важность обеспечения безопасности цепочки поставок и использования только надежных компонентов в рамках многоэтапного подхода к безопасности.
«В рамках наших обширных проверок качества мы следим за процессом в режиме «доверяй, но проверяй». Есть несколько примеров таких же проблем, которые мы обнаружили в прошлом, и в результате мы не подписали или не сертифицировали программное обеспечение или устройство для выпуска», — сказал Иган.
«Мобильные атаки растут и адаптируются, как показывает этот пример, и это подчеркивает важность основы кибербезопасности BlackBerry, которая, среди других лучших практик, гарантирует что компания использует только надежные компоненты для обеспечения полной безопасности».
Троян Triada был впервые обнаружен еще в 2016 году, когда первые троянские программы заражали оперативную память операционной системы, а затем рутировали устройство для установки вредоносных приложений, которые приносили злоумышленникам доход от рекламы.
Разработчики вредоносных программ продолжали внедрять более продвинутые возможности в течение следующих нескольких лет, превращая Triada в более скрытного троянца, который использовал методы антианализа, такие как дополнение функций и SHA1-хэшированные имена файлов.
«Приложения Triada начинались как троянские программы для рутинга, но, поскольку Google Play Protect усилил защиту от рут-эксплойтов, приложения Triada были вынуждены адаптироваться, переходя к созданию бэкдоров в образах системы», — сообщают исследователи Google в своем блоге.
«Летом 2017 года мы заметили изменения в новых образцах Triada. Вместо того, чтобы рутировать устройство для получения повышенных привилегий, Triada превратилась в предустановленный бэкдор платформы Android».
Исследователи Google подтвердили, что разработчики Triada смогли заразить системные образы различных производителей в ходе производственного процесса с помощью атаки сторонней цепочки поставок, в результате которой вредоносное ПО было предварительно установлено до того, как устройства были проданы потребителям.
«Иногда OEM-производители хотят включить функции, которые не являются частью проекта Android Open Source, такие как разблокировка по лицу пользователя. OEM-производитель может вступить в партнерские отношения с третьей стороной, которая может разработать необходимую функцию и отправить весь системный образ этому поставщику для разработки», — заявили исследователи Google.
«Основываясь на анализе, мы считаем, что разработчик Yehuo или Blazefire, заразил образ системы Triada».
Зараженные модели смартфонов были выявлены Dr.Web в начале марта этого года. Успешная компрометация образов системы в процессе производства подчеркивает важность надежных протоколов безопасности цепочки поставок — к чему BlackBerry относится очень серьезно на каждом этапе разработки и производства.
«Любая попытка взлома такого рода в отношении устройств BlackBerry или устройств нашего лицензиата была бы обнаружена нашими командами безопасности», — сказал Адам Шиман, старший директор по безопасности программного обеспечения в BlackBerry.
«BlackBerry сохраняет строгий контроль над тем, какое программное обеспечение добавляется в образ системы, и контролирует любые запросы сторонних поставщиков для настройки приложений с дополнительными привилегиями».
Кроме того, такие решения, как BlackBerry 2FA, обеспечивают надежную аутентификацию пользователей с высокой степенью безопасности, которая защищает критически важные мобильные системы и обеспечивает превосходное взаимодействие с конечным пользователем. Это свидетельствует о приверженности компании не только обеспечению безопасности устройств с самого начала, но и упреждающей защите и безопасности на протяжении всего жизненного цикла.
Источник: INSIDE BlackBerry