«Лаборатория Касперского» нашла троянец, который проникает в самое «сердце» Android
Угрозы для мобильных устройств на базе Android перестали уступать по сложности вредоносному ПО, атакующему традиционные компьютеры, считают эксперты «Лаборатории Касперского». Они обнаружили мобильный троянец Triada, который с технической точки зрения значительно превосходит все другие аналогичные зловреды. Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на зараженном устройстве, и возможность менять логику их работы. Зловред тщательно скрывает следы своего присутствия в системе, поэтому обнаружить и удалить его не так-то просто. Угроза особенно актуальна для пользователей Android версии 4.4.4 и более ранних, отмечают аналитики.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote, ранее подобные техники рассматривались исключительно с теоретической точки зрения. Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом, троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя.
На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры. Как рассказал Никита Бучка, антивирусный аналитик «Лаборатории Касперского», спектр техник, использованных данным троянцем, не встречается ни в одном из известных ранее мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote, ранее подобные техники рассматривались исключительно с теоретической точки зрения. Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом, троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя.
На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры. Как рассказал Никита Бучка, антивирусный аналитик «Лаборатории Касперского», спектр техник, использованных данным троянцем, не встречается ни в одном из известных ранее мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления зловреда, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность.
Похожие статьи:
Привіт, мене звати Северин, більше шести років я працюю в ІТ та близько року в ролі Scrum Master — встиг набратися досвіду і як розробник,...
Как известно, компания HTC сейчас работает над новым флагманским смартфоном с вероятными названием One M10. Он не представляется на...
Міністерство економіки ОАЕ у липні запустило ініціативу під назвою NextGenFDI. Її мета — залучити цифрові компанії з усього...
[Об авторе: Павел Веллер — CTO, Digital Engagement Practice в EPAM Systems. Практически 20 лет опыта в разработке ПО и продуктов...