{"id":220931,"date":"2019-07-24T01:05:15","date_gmt":"2019-07-23T23:05:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220931"},"modified":"2019-07-24T01:05:15","modified_gmt":"2019-07-23T23:05:15","slug":"analyse-des-trida-angriffs-auf-eine-android-lieferkette","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/24\/analyse-des-trida-angriffs-auf-eine-android-lieferkette\/","title":{"rendered":"Analyse des Trida-Angriffs auf eine Android-Lieferkette"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Brian Krebs von Krebs on Security hat den Trida-Befall diverser Android-Apps im Google Play Store zum Anlass f\u00fcr eine Recherche genommen. Vermutlich hat er die Hinterm\u00e4nner des Angriffs in China enttarnt. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/20991525919845b7a2bd5de677c4e3a9\" width=\"1\" height=\"1\"\/>Im Juni 2019 befasste sich Google <a href=\"https:\/\/security.googleblog.com\/2019\/06\/pha-family-highlights-triada.html\">in diesem Artikel<\/a> mit der Familie der Trida-Trojaner. Im Artikel gab Google bekannt, dass ein Angriff auf einen seiner Anbieter in der Lieferkette durch dazu f\u00fchrte, dass b\u00f6sartige Software auf Millionen von neuen Android-Ger\u00e4ten vorinstalliert wurde. Der Hauptzweck der Triada-Apps war bzw. ist die Installation von Spam-Apps Zielger\u00e4ten. Die Apps blenden dann Werbeanzeigen ein, die den Entwicklern von Triada Einnahmen aus den Anzeigen, die von den Spam-Apps geschaltet wurden, einbringen. <\/p>\n<p><img decoding=\"async\" title=\"Triada-Apps \" alt=\"Triada-Apps \" src=\"https:\/\/4.bp.blogspot.com\/-0aav5GYhb4A\/XPlDXITD5sI\/AAAAAAAAAlQ\/EwVIKPtzdP8WuvR68s8NINkp1nWIXFIYgCLcBGAs\/s640\/phaFamilyhighlightsNeonMalware-01.png\"\/><\/p>\n<p>Die von Triada verwendeten Methoden waren komplex und ungew\u00f6hnlich f\u00fcr diese Art von Apps. Triada-Apps begannen als Root-Trojaner, aber da Google Play Protect die Erkennung von Root-Angriffe verbesserte, waren Triada-Apps gezwungen, sich anzupassen. Ende Juni 2019 habe ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/30\/triada-trojaner-in-firmware-von-billig-androiden-gefunden\/\">Triada-Trojaner in Firmware von Billig-Androiden gefunden<\/a> berichtet, dass Trida-Apps auf g\u00fcnstigen Android-Ger\u00e4ten gefunden wurden. <\/p>\n<p>Das Ganze wurde von Sicherheitsforschern des russischen Sicherheitsdienstleisters Dr.Web aufgedeckt, die sich bestimmte Billig-Smartphones mit Android vorgenommen haben. Konkret handelt es sich um Ger\u00e4te wie Leagoo M5 Plus (und Leagoo M8) sowie Nomu S10 (und Nomu S20), wie Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/triada-trojan-found-in-firmware-of-low-cost-android-smartphones\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier berichtet<\/a>.<\/p>\n<p>Interessant ist die Frage, wer hinter dieser Kampagne steckt, um die Apps in der Lieferkette in die Firmware der Android-Ger\u00e4te einzuschleusen. Google nannte damals die Verantwortlichen nicht. Es wurde nur ausgef\u00fchrt, dass der Urheber unter dem Spitznamen \"Yehuo\" oder \"Blazefire\" agiert. Brian Krebs hat auf seiner Seite Krebs on Security in <a href=\"https:\/\/krebsonsecurity.com\/2019\/06\/tracing-the-supply-chain-attack-on-android-2\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> einige Details recherchiert und vermutlich auch die Hinterm\u00e4nner in China identifiziert. Der Artikel gew\u00e4hrt tiefer Einblick in die Identit\u00e4t dieses chinesischen Anbieters, der eine lange und geschichtstr\u00e4chtige Geschichte der Entwicklung mobiler Malware zu haben scheint.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Brian Krebs von Krebs on Security hat den Trida-Befall diverser Android-Apps im Google Play Store zum Anlass f\u00fcr eine Recherche genommen. Vermutlich hat er die Hinterm\u00e4nner des Angriffs in China enttarnt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4328],"class_list":["post-220931","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220931","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220931"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220931\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220931"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220931"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220931"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}