Компания «Доктор Веб», специализирующаяся на разработке одноименного антивирусного программного обеспечения, выявила встроенный в прошивки некоторых Android-устройств троян семейства Android.Triada. Вирусы такого типа внедряются в системный процесс Zygote, служащий для запуска всех приложений. Таким образом, вредонос начинает взаимодействие с программами при их запуске. Новый троян под названием Android.Triada.231 был обнаружен в прошивках смартфонов Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20.
Android.Triada.231 встроен в библиотеку libandroid_runtime.so, в связи с чем вирус начинает работу тогда, когда любое приложение выполняет запись в системный журнал. Суть трояна заключается в скачивании вредоносных модулей из интернета — для этих целей вредонос активирует троянский модуль Android.Triada.194.origin, зашифрованный в библиотеке libandroid_runtime.so. Именно он загружает из интернета различные вредоносные компоненты и обеспечивает взаимодействие между ними.
Благодаря вирусу Android.Triada.231 злоумышленники могут красть конфиденциальную информацию пользователя, перехватывать переписки из социальных сетей и тому подобное. Поскольку троян находится в библиотеке libandroid_runtime.so, расположенной в системном разделе, удалить его простыми средствами невозможно. Компания «Доктор Веб» проинформировала производителей зараженных устройств о наличии вредоноса в исходном коде прошивки их гаджетов.