Угрозы для мобильных устройств на базе
Android перестали уступать по сложности
вредоносному ПО, атакующему
традиционные компьютеры.
«Лаборатория Касперского» обнаружила
мобильный троянец Triada, который с технической точки зрения значительно
превосходит все другие аналогичные
зловреды. Отличительными особенностями Triada
являются его способность внедрять свой
код во все приложения, имеющиеся на
зараженном устройстве, и возможность
менять логику их работы. А если учесть
тот факт, что зловред тщательно скрывает следы своего присутствия в
системе, обнаружить и удалить его не так-
то просто. Угроза особенно актуальна для
пользователей Android версии 4.4.4 и
более ранних. Доступ ко всем приложениям Triada
получает в результате использования
процесса Zygote, который является
шаблоном для всех Android-приложений.
Попадая в этот процесс, зловред
становится частью шаблона. Это первый случай эксплуатирования
злоумышленниками процесса Zygote;
ранее подобные техники рассматривались
исключительно с теоретической точки
зрения. Другой особенностью Triada является его
модульная структура. Основная
программа-загрузчик устанавливает на
устройство различные модули зловреда,
обладающие теми функциями, которые
на данный момент нужны злоумышленникам. При этом троянец
скрывает свои модули из списка
установленных приложений и пакетов, а
также из списков запущенных сервисов.
Все они хранятся в системных папках,
доступ к которым зловред получает благодаря несанкционированно
приобретенным правам
суперпользователя. На сегодняшний день Triada используется
для кражи денег пользователей или
разработчиков в процессе покупки
дополнительного контента в легитимном
приложении. Для этого троянец
перехватывает, модифицирует и фильтрует платежные SMS. К примеру,
когда пользователь покупает что-то во
внутриигровом магазине,
злоумышленники могут модифицировать
исходящее платежное SMS-сообщение
таким образом, чтобы получить деньги пользователя вместо разработчиков
игры. «Triada – это своего рода Рубикон в
эволюции угроз, нацеленных на
Android. Если раньше большинство
троянцев под эту платформу были
довольно примитивными, то теперь
«на сцену» выходят новые угрозы – с высоким уровнем технической
сложности. Очевидно, что троянец
Triada разработан
киберпреступниками, которые
очень хорошо разбираются в
атакуемой мобильной платформе. Спектр техник, использованных
данным троянцем, не встречается
ни в одном из известных нам
мобильных зловредов.
Использованные методы сокрытия
позволяют эффективно избегать обнаружения и удаления всех
компонентов зловреда после их
установки на зараженном
устройстве, а модульная
архитектура позволяет
злоумышленникам расширять и менять функциональность, и
ограничивают их только
возможности операционной
системы и установленные на
устройстве приложения. А
поскольку зловред проникает во все приложения, киберпреступники
потенциально могут
модифицировать их логику, чтобы
реализовать новые векторы атаки
на пользователей и
максимизировать свою прибыль», – поясняет Никита Бучка,
антивирусный аналитик
«Лаборатории Касперского».
Автор:
Manager / 5 Марта 2016 в 22:39 / Просмотров: 373