Исследователи из Check Point Software Technologies обнаружили в дикой природе варианты зловредов Triada и Viking Horde, которые проявляют опасную способность обходить защиту на некоторых версиях Android.

По свидетельству экспертов, мобильный троянец Triada теперь умеет внедряться в процессы четырех браузеров: дефолтного Android AOSP, 360 Secure, Cheetah и Oupeng. Это позволяет ему осуществлять перехват запросов браузера и подменять URL для перенаправления пользователя на поддельные страницы, созданные для кражи финансовой информации. Эту же функциональность несколько ранее обнаружили и задокументировали исследователи из «Лаборатории Касперского».

До сих пор основной функцией Triada являлся перехват SMS с целью хищения денежных средств при совершении жертвой покупок через приложения. Подмена URL опасна тем, что позволяет спровоцировать пользователя на «ввод идентификаторов на фальшивой странице или даже на загрузку дополнительных зловредов, при этом он не будет знать, что зашел на вредоносный сайт», как пишет аналитик Орен Кориат (Oren Koriat) в блоге Check Point.

Исследователи также обновили свой профиль Android-зловреда Viking Horde, примечательного своей способностью проникать на Google Play и приобщать зараженные устройства к ботнету. Как показал анализ, Horde обрел новый механизм сокрытия от средств детектирования: отныне он прилежно мониторит процессы, запущенные на Android Lollipop и Marshmallow.

«Google приложила некоторые усилия для предотвращения подобной активности и блокирует вызовы API-функции getRunningTasks() приложений, — рассказывает Кориат. — Viking Horde удается обойти эту меру защиты путем считывания файловой системы, отображающей запущенные процессы; таким образом зловред отыскивает текущие процессы».

В своем комментарии Threatpost другой аналитик из Check Point — Дэниел Пардон (Daniel Pardon) отметил, что функцию мониторинга файловой системы /proc они встретили itw впервые. «Мы не наблюдали ее в действии, — говорит эксперт. — Это пока модель в процессе построения, но мы уверены, что хакеры начнут ее использовать. Как показывает практика, вредоносному ПО свойственно заимствование. В ближайшее время этот процесс обхода защитных мер Google освоят банковские и другие зловреды, которым нужна такая самозащита».

Категории: Аналитика, Вредоносные программы