Исследователи из «Лаборатории Касперского» обнаружили Android-троянца, который, как оказалось, по сложности не уступает зловредам, ориентированным на Windows. Новый мобильный зловред, нареченный Triada, отличается от всех известных Android-угроз тем, что способен внедрять свой код во все приложения, установленные на зараженном устройстве. По свидетельству экспертов, он особенно опасен для Android версий 4.4.4 и ниже.

Анализ показал, что для получения доступа к приложениям Triada модифицирует системный процесс Zygote, являющийся шаблоном для каждой новой Android-программы. Троянец становится частью этого шаблона и, таким образом, попадает в каждое запускаемое приложение. «Мы впервые сталкиваемся с подобной техникой itw, до этого использование Zygote реализовывалось только в виде Proof-of-Concepts», — пишут аналитики Михаил Кузин и Никита Бучка в блоге Securelist.

Новый зловред имеет модульную структуру. Основная программа-загрузчик (детектируемая как Backdoor.AndroidOS.Triada) устанавливает все нужные на данный момент модули в системные папки под именами, которые не должны вызвать подозрений у пользователя (AndroidGuardianship.apk, GoogleServerInfo.apk, USBUsageInfo.apk и т.п.). Доступ к этим папкам Triada получает, пользуясь правами root, обретенными втайне от жертвы.

После загрузки в контекст зловреда модули удаляются с диска и остаются лишь в оперативной памяти, что значительно затрудняет их обнаружение и удаление. Чтобы скрыть свои отдельно запущенные процессы от пользователя и других приложений, троянец методично подменяет функции Android, возвращающие списки запущенных сервисов, установленных/запущенных приложений, установленных пакетов. Эксперты подчеркивают, что используемые в данной схеме вредоносные модули могут исполняться с незаконно присвоенными привилегиями суперпользователя.

В начале работы Triada собирает информацию о зараженном устройстве, включая список установленных приложений, и отправляет ее злоумышленникам. Адреса C&C-сервера жестко прописаны в коде в виде двух списков — основного и резервного. В ответ троянец получает зашифрованный конфигурационный файл, который впоследствии регулярно обновляется.

Распространяется данный Android-зловред, как и многие его «рутирующие» собратья, через партнерский ботнет, созданный на основе рекламных троянцев. На настоящий момент «лаборантам» удалось выявить несколько модулей Triada; даунлоудер (два дублирующих модуля), компонент для отправки SMS по команде и перехватчик SMS-сообщений, отправляемых из других приложений при покупке дополнительного контента. Последний компонент также способен модифицировать и фильтровать платежные SMS; по всей видимости, он предназначен для хищения денежных средств пользователя (или разработчиков покупаемого им ПО).

«Triada — это своего рода Рубикон в эволюции угроз, нацеленных на Android, — резюмирует Бучка. — Если раньше большинство троянцев под эту платформу были довольно примитивными, то теперь «на сцену» выходят новые угрозы — с высоким уровнем технической сложности. Очевидно, что троянец Triada разработан киберпреступниками, которые очень хорошо разбираются в атакуемой мобильной платформе. Спектр техник, использованных данным троянцем, не встречается ни в одном из известных нам мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления всех компонентов зловреда после их установки на зараженном устройстве, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность, и ограничивают их только возможности операционной системы и установленные на устройстве приложения. А поскольку зловред проникает во все приложения, киберпреступники потенциально могут модифицировать их логику, чтобы реализовать новые векторы атаки на пользователей и максимизировать свою прибыль».

Категории: Аналитика, Вредоносные программы