«Лаборатория Касперского» нашла троянец, который проникает в самое «сердце» Android
Угрозы для мобильных устройств на базе Android перестали уступать по сложности вредоносному ПО, атакующему традиционные компьютеры, считают эксперты «Лаборатории Касперского». Они обнаружили мобильный троянец Triada, который с технической точки зрения значительно превосходит все другие аналогичные зловреды. Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на зараженном устройстве, и возможность менять логику их работы. Зловред тщательно скрывает следы своего присутствия в системе, поэтому обнаружить и удалить его не так-то просто. Угроза особенно актуальна для пользователей Android версии 4.4.4 и более ранних, отмечают аналитики.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote, ранее подобные техники рассматривались исключительно с теоретической точки зрения. Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом, троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя.
На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры. Как рассказал Никита Бучка, антивирусный аналитик «Лаборатории Касперского», спектр техник, использованных данным троянцем, не встречается ни в одном из известных ранее мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote, ранее подобные техники рассматривались исключительно с теоретической точки зрения. Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом, троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя.
На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры. Как рассказал Никита Бучка, антивирусный аналитик «Лаборатории Касперского», спектр техник, использованных данным троянцем, не встречается ни в одном из известных ранее мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность.
Похожие статьи:
Оформлення відстрочок в «Резерв+» призупинили через кібератаку на Мін’юст. Як працюють інші сервіси Міноборони
В застосунку «Резерв+» призупинили видачу відстрочок. Це пов’язано з відновленням роботи реєстрів Мін’юсту після кібератаки, про яку...
Нещодавно зʼявилася інформація, що Дмитро Шоломко йде з Google Ukraine після 17 років на цій посаді. Зараз компанія шукає нового керівника для...
В рубриці DOU Labs ми запрошуємо IT-компанії ділитись досвідом власних цікавих розробок та внутрішніх технологічних ініціатив. Питання...
В базе данных бенчмарка AnTuTu появились данные о смартфоне Meizu MX6, который станет следующим флагманом компании. Там указано, что...
[Василий Ульянов — сооснователь Genesis. Более 10 лет в IT и инвестиционной отрасли. Занимается международным развитием...