«Лаборатория Касперского» нашла троянец, который проникает в самое «сердце» Android
Угрозы для мобильных устройств на базе Android перестали уступать по сложности вредоносному ПО, атакующему традиционные компьютеры, считают эксперты «Лаборатории Касперского». Они обнаружили мобильный троянец Triada, который с технической точки зрения значительно превосходит все другие аналогичные зловреды. Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на зараженном устройстве, и возможность менять логику их работы. Зловред тщательно скрывает следы своего присутствия в системе, поэтому обнаружить и удалить его не так-то просто. Угроза особенно актуальна для пользователей Android версии 4.4.4 и более ранних, отмечают аналитики.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote, ранее подобные техники рассматривались исключительно с теоретической точки зрения. Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом, троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя.
На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры. Как рассказал Никита Бучка, антивирусный аналитик «Лаборатории Касперского», спектр техник, использованных данным троянцем, не встречается ни в одном из известных ранее мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote, ранее подобные техники рассматривались исключительно с теоретической точки зрения. Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом, троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя.
На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры. Как рассказал Никита Бучка, антивирусный аналитик «Лаборатории Касперского», спектр техник, использованных данным троянцем, не встречается ни в одном из известных ранее мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность.
Похожие статьи:
[Об авторе: Наталия Сиромаха, директор по инжинирингу GlobalLogic. Имеет в своем портфолио широкий спектр проектов от healthcare до security...
Єлизавета Юхнова, в минулому спеціалістка технічної підтримки, разом з маленьким сином переїхала у Францію в березні 2022 року...
Реальность такова, что 9 из 10 новых продуктов проваливают первое знакомство с реальными пользователям. На кураже...
Привіт, спільноті Метеор, у нас є для Вас хороші новини, цієї суботи (30 січня) відбудеться третя зустріч спільноти...