Специалисты «Лаборатории Касперского» рассказали об обнаружении Android-трояна Triada, назвав его одним из самых технически сложных вредоносов из всех, что им доводилось видеть. Основной особенностью новой малвари является то, что Triada внедряется в родительский процесс Zygote, который выступает шаблоном вообще для всех Android-приложений в системе.
В отчете аналитики пишут, что мобильные угрозы уже вплотную приблизились к малвари, которая атакует обычные компьютеры. По сложности мобильные вредоносы практически не уступают своим «старшим братьям».
Так, Triada, это первый троян, который на практике осуществляет успешные атаки на процесс Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения и в виде proof-of-concept. Zygote содержит системные библиотеки и фреймворки, используемые практически всеми приложениями, являясь своего рода шаблоном. После проведения атаки, троян становится частью этого шаблона, что дает ему возможность проникнуть во все приложения, установленные на зараженном устройстве, а затем изменить логику их работы.
Также Triada использует модульную структуру. То есть основной загрузчик устанавливает на устройство жертвы различные модули малвари, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом троян скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым Triada имеет благодаря несанкционированно полученным правам суперпользователя.
Хотя возможности трояна велики, на данный момент Triada в основном применяется для кражи денег пользователей и разработчиков в процессе покупки дополнительного контента в легитимных приложениях. Малварь перехватывает, модифицирует и фильтрует платежные SMS-сообщения. К примеру, когда пользователь совершает покупку во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры.
«Triada – это своего рода Рубикон в эволюции угроз, нацеленных на Android. Если раньше большинство троянцев под эту платформу были довольно примитивными, то теперь «на сцену» выходят новые угрозы – с высоким уровнем технической сложности.
Очевидно, что троянец Triada разработан киберпреступниками, которые очень хорошо разбираются в атакуемой мобильной платформе. Спектр техник, использованных данным троянцем, не встречается ни в одном из известных нам мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления всех компонентов зловреда после их установки на зараженном устройстве, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность, и ограничивают их только возможности операционной системы и установленные на устройстве приложения. А поскольку зловред проникает во все приложения, киберпреступники потенциально могут модифицировать их логику, чтобы реализовать новые векторы атаки на пользователей и максимизировать свою прибыль», – пишет Никита Бучка, антивирусный аналитик «Лаборатории Касперского».
С подробным аналитическим отчетом, посвященным Triada, можно ознакомиться здесь.
Фото: "Лаборатория Касперского"