Эксперты «Лаборатории Касперского» проанализировали новый модуль, загружаемый Android-троянцем Triada для перехвата и подмены запросов браузера. По свидетельству экспертов, в настоящее время этот бэкдор используется как типовая adware-программа для Windows, однако его с тем же успехом можно применять для фишинга с целью отъема денег с банковских счетов.

Напомним, недавно обнаруженный Triada способен получать права суперпользователя на мобильном устройстве и отличается от своих Android-собратьев тем, что внедряет свой код во все приложения, установленные у жертвы. Он имеет модульную структуру, и используемые им модули могут работать с незаконно присвоенными высокими привилегиями.

Новый вредоносный модуль «лаборанты» нашли 15 марта, через пару недель после публикации результатов исследования сложного и опасного Android-троянца. Как оказалось, новобранец может работать лишь с Triada и состоит из нескольких частей-бэкдоров; получив права root, он внедряет свою библиотеку в процесс браузера. Судя по списку, приведенному Антоном Киввой в блоге Securelist, в настоящее время атакуемых браузеров четыре: стандартный Android AOSP, 360 Secure производства Qihoo, мощный Cheetah от Kingsoft и Oupeng, сделанный в Китае на основе Opera Mini.

Внедренная библиотека осуществляет перехват запросов браузера, анализирует URL и изменяет их, руководствуясь правилами, полученными с командного сервера. «Сейчас эта схема используется вирусописателями для изменения стандартного поискового движка, который выбран в браузере у пользователя, а также для замены домашней страницы», — пишет Кивва. При этом эксперт отметил, что аналогичные атаки можно проводить с перехватом любых URL, в том числе банковских, для этого достаточно подать соответствующую команду с C&C.

С момента обнаружения нового модуля исследователи зафиксировали 247 заражений, и спада пока не наблюдается. География его распространения широка, но наибольшее количество атак пришлось на Россию и Индию.

Категории: Аналитика, Вредоносные программы