En 2016, Kaspersky Lab avait alerté au sujet d'un cheval de Troie Android baptisé Triada infectant le processus Zygote (utilisé pour le lancement des processus d'applications) et se logeant principalement dans la mémoire vive d'un appareil compromis.

Ce cheval de Troie à la structure modulaire disposait de plusieurs cordes à son arc, dont des exploits root, et servait d'abord à installer diverses applications de spam sur un smartphone et pour afficher des publicités.

Dans un billet sur son blog consacré à la sécurité, Google fait une étude de cas de Triada et souligne que le renforcement des défenses de Google Play Protect contre des exploits root a fait évoluer Triada à l'été 2017 vers un backdoor d'image système.

Autrement dit, une porte dérobée préinstallée sur certains smartphones Android. Pas de panique, Google assure que dans le cadre d'une coopération avec les fabricants, des images système avec des mises à jour de sécurité ont permis d'éliminer Triada.

C'est en tout cas la confirmation de trouvailles qu'avait pu faire l'éditeur russe de solutions de sécurité Dr. Web. Dans son étude de cas, Google ne cite pas des fabricants qui ont été touchés. Il suffit néanmoins de se rendre sur la publication de l'époque de Dr. Web où il est fait mention - entre autres - des smartphones Leagoo M5 Plus, Leagoo M8, Nomu S10 et Nomu S20.

Injecté au niveau des bibliothèques logicielles d'Android et dans la section système, le backdoor échappait aux méthodes de suppression usuelles et servait au téléchargement et à l'installation de modules. Selon Google, Triada était intégré dans l'image système en tant que code tiers pour des fonctionnalités supplémentaires demandées par des fabricants.

" Parfois, les fabricants veulent inclure des fonctionnalités ne faisant pas partie du projet Android Open Source, comme le face unlock (ndlr : déverrouillage par reconnaissance faciale). Le fabricant peut établir un partenariat avec un tiers pouvant développer la fonctionnalité souhaitée et lui envoyer la totalité de l'image système. "

google-android-triada-image-systeme

Membre de l'équipe Android Security & Privacy, Lukasz Siewierski écrit que l'analyse fait ressortir le nom d'un vendeur utilisant l'identité de Yehuo ou Blazefire pour l'infection de l'image système avec Triada. Dans son analyse, Google livre plusieurs aspects techniques qui mettent en lumière la sophistication de Triada.

" Le cas Triada est un bon exemple de la manière dont les auteurs de malwares Android deviennent plus habiles. Il montre également qu'il est plus difficile d'infecter les appareils Android, en particulier si l'auteur du malware a besoin d'une élévation de privilèges ", écrit Google qui rappelle avoir mis en place un programme nécessitant que les fabricants aient recours à l'outil Build Test Suite pour l'analyse de la sécurité des images système.

Google Play Protect assure en outre la protection contre Triada… ou en tout cas ses versions connues sauf nouvelle adaptation.