러시아 보안 소프트웨어 회사인 Doctor Web은 40개의 저가형 스마트폰이, 출하 단계부터 트로이 목마인 Android.Triada.231가 설치된다고 발표했습니다.
Android.Triada.231는 안드로이드의 시스템 구성 요소 Zygote에 감염됩니다. Zygote는 모든 애플리케이션 구동에 쓰이기에, 이게 감염되면 다른 애플리케이션에 침입해 악의적인 활동이 가능합니다.
재밌는 건 Android.Triada.231의 개발자가 프로그램을 배포하는 게 아니라 libandroid_runtime.so라는 시스템 라이브러리에 넣어야 한다는 점입니다. 즉 스마트폰 출고 단계에서 펌웨어를 감염시켜야 합니다.
Doctor Web은 2017년 여름부터 Android.Triada.231의 감염을 확인하고 제조사에 이를 전달했으나, 12월에 출시된 Leagoo의 M9에서도 감염이 확인됐습니다. Leagoo의 소프트웨어 개발 파트너가 OS 이미지를 만들 때, 컴파일 전에 코드를 시스템 라이브러리에 추가하는 게 원인이라고 보는 듯.
문제가 되는 제품은 아래와 같습니다. 그리고 이보다 더 많은 제품이 해당될 가능성도 충분합니다. Leagoo나 Doogee처럼 저가형에서 나름 유명한(?) 곳들도 제법 있군요.
· Leagoo M5
· Leagoo M5 Plus
· Leagoo M5 Edge
· Leagoo M8
· Leagoo M8 Pro
· Leagoo Z5C
· Leagoo T1 Plus
· Leagoo Z3C
· Leagoo Z1C
· Leagoo M9
· ARK Benefit M8
· Zopo Speed 7 Plus
· UHANS A101
· Doogee X5 Max
· Doogee X5 Max Pro
· Doogee Shoot 1
· Doogee Shoot 2
· Tecno W2
· Homtom HT16
· Umi London
· Kiano Elegance 5.1
· iLife Fivo Lite
· Mito A39
· Vertex Impress InTouch 4G
· Vertex Impress Genius
· myPhone Hammer Energy
· Advan S5E NXT
· Advan S4Z
· Advan i5E
· STF AERIAL PLUS
· STF JOY PRO
· Tesla SP6.2
· Cubot Rainbow
· EXTREME 7
· Haier T51
· Cherry Mobile Flare S5
· Cherry Mobile Flare J2S
· Cherry Mobile Flare P1
· NOA H6
· Pelitt T1 PLUS
· Prestigio Grace M5 LTE
· BQ 5510
Doctor Web의 안드로이드 보안 소프트웨어인 Dr.Web을 루트 권한으로 실행하면 Triada.231을 제거할 수 있으나, 루트 권한으로 실행이 안되는 제품이라면 감염되지 않은 롬을 씌워야 합니다.