Статьи

Triada: дуже страшний троянець для Android

  1. Темний шлях «Тріади»
  2. Як прогнати злочинців зі свого телефону?

Як зазвичай пересуваються армії: вперед посилають розвідників, щоб ті дізналися, чи все в порядку, і скорегували маршрут для основних сил. По крайней мере, приблизно так це виглядало до пришестя епохи кібервійни. Як виявилося, троянці поводяться приблизно так само. Як зазвичай пересуваються армії: вперед посилають розвідників, щоб ті дізналися, чи все в порядку, і скорегували маршрут для основних сил

Існує дуже багато дрібних троянців для Android, які отримують права суперкористувача і використовують їх у своїх брудних цілях. Микита Бучка і Михайло Кузін, вірусні аналітики з «Лабораторії Касперського», можуть з ходу назвати 11 сімейств таких троянців. Більшість з них практично нешкідливі - в основному вони спеціалізуються на показі реклами і скачуванні собі подібних. На Securelist є ціла стаття , Присвячена якраз таким зловредів.

Якщо продовжувати військову аналогію, то ці «невинні» троянці - якраз і є розвідники. Як ми вже згадували, права суперкористувача дають їм можливість завантажувати та встановлювати інші програми. Саме тому варто одному такому троянцу потрапити в систему, як через кілька хвилин в ній з'являються і всі інші. Наші дослідники припустили, що рано чи пізно їх почнуть використовувати для доставки «додому», тобто до вас в телефон, набагато більш небезпечних шкідників.

Саме так і сталося. Дрібні троянці на кшталт Leech, Ztorg і Gopro тепер скачують один з найскладніших і хитрих троянів на сьогоднішній день. Ми називаємо його Triada.

Йдеться про модульному троянця, активно використовує root-привілеї для того, щоб змінювати системні файли. Крім того, він існує здебільшого лише в оперативній пам'яті пристрою, тому його дуже складно засікти.

Темний шлях «Тріади»

Потрапивши в пристрій, ці троянці насамперед збирають дані про систему: модель пристрою, версія ОС, обсяг SD-карти, список встановлених додатків тощо. Потім зловредів відправляє зібрану інформацію на командний сервер. Ми засікли цілих 17 таких серверів, розташованих на чотирьох різних доменах. Як бачите, автори даного ПЗ цілком знайомі з тим, що таке резервування.

Отримавши повідомлення від троянця, командний сервер у відповідь посилає йому файл з конфігураціями, що містить персональний ID зараженого пристрою і набір налаштувань: через які тимчасові проміжки зловредів повинен буде зв'язуватися з сервером, які модулі йому потрібно встановити тощо. Після установки модулів вони стираються з пам'яті пристрою і залишаються тільки в оперативній пам'яті. Так троянець ховає себе.

Є ще кілька причин, чому «Триаду» так складно виявити і чому вона так вразила наших дослідників. По-перше, цей троянець модифікує процес Zygote . Це один з базових процесів в ОС Android, який використовується як свого роду основа для будь-якого іншого застосування. В результаті, як тільки «Тріада» добирається до «Зиготи», хитрий зловредів стає частиною кожного встановленого на пристрої додатки.

В результаті, як тільки «Тріада» добирається до «Зиготи», хитрий зловредів стає частиною кожного встановленого на пристрої додатки

По-друге, «Тріада» також вміє підміняти системні функції і використовує це для того, щоб приховувати свої модулі зі списків запущених процесів і встановлених додатків. Тому жертва взагалі не помічає, що щось не так з пристроєм, і не турбується ні про що.

Це не весь список того, що троянець змінює в системі. Також «Тріада» наклала свою лапу на відправляються SMS і придбала можливість фільтрації вхідних повідомлень. Саме таким чином кіберзлочинці вирішили монетизувати свою розробку.

Деякі додатки використовують SMS замість Інтернету для здійснення внутрішніх покупок. Основна перевага такого методу - те, що для покупки не потрібно підключення до Інтернету. Його користувачі не бачать таких повідомлень, так як вони обробляються не програмою для читання SMS, а власне додатком, який ініціює переклад, наприклад, черговий умовно безкоштовною грою для мобільного.

«Тріада» використовує цей прийом, щоб виводити гроші з рахунку користувача. Троянець модифікує фінансові повідомлення таким чином, щоб гроші приходили не на рахунок розробників мобільних додатків, а на рахунок злочинців. В результаті жертвами «Тріади» стають або користувачі, які не отримали ігрову «плюшки», за яку заплатили, або розробники мобільних додатків, до яких не дійшли гроші (якщо користувач все-таки отримав свій ігровий предмет).

Поки це єдиний спосіб, за допомогою якого злочинці можуть отримувати прибуток від «Тріади», але не забувайте: ми говоримо про модульному троянця. Варто дописати ще пару модулів, відправити команду на їх скачування - і він може навчитися робити буквально що завгодно: права доступу у нього для цього є.

Як прогнати злочинців зі свого телефону?

Найнеприємніше в історії з «тріадою» те, що від неї з великою ймовірністю можуть постраждати дуже багато людей. Згідно з нашими даними, у другій половині 2015 року, кожен десятий користувач Android був атакований тими самими дрібними троянцями, які отримують права суперкористувача, які серед іншого можуть встановлювати на пристрій «Триаду». Таким чином, жертвами цього троянця вже можуть бути мільйони користувачів.

Так як захистити себе від мерзенного пронози? Не так уже й складно.

1. По-перше, завжди встановлювати останні системні оновлення. Дрібним зловредів складно перехопити root-привілеї в пристроях з Android 4.4.4 і вище, так як велика кількість вразливостей в цих версіях ОС було закрито. Якщо на вашому телефоні встановлена ​​більш-менш сучасна операційна система, ви перебуваєте у відносній безпеці. Однак наша статистика показує, що близько 60% користувачів Android сидять на Android 4.4.2 і більш древніх версіях цієї ОС. І ось для них шанс заразитися досить високий.

І ось для них шанс заразитися досить високий

2. По-друге, краще взагалі не випробовувати долю і не підраховувати ймовірність тих чи інших шансів. Надійний захист вашого пристрою забезпечить тільки хороший антивірус. відомо чимало випадків , Коли навіть в офіційних магазинах Google знаходили троянців (власне, дрібні зловредів, скачують «Триаду, саме з таких). Так що рекомендуємо вам встановити надійне захисне рішення.

Kaspersky Internet Security для Android виявляє всі три модулі, які використовуються «тріадою», і може захистити ваш рахунок від загребущих ручок творців троянця. Тільки не забувайте, що в безкоштовній версії мобільного антивіруса сканування потрібно запускати вручну і досить регулярно.

Підіб'ємо підсумки: «Тріада» - це ще один вельми наочний приклад неприємної тенденції. Розробники шкідливого ПЗ почали сприймати Android всерйоз. Більш того, вони навчилися ефективно використовувати його уразливості.

Зразки мобільних троянців, виявлені нами останнім часом, майже такі ж складні і скритні, як і їх Windows-побратими. Єдиний спосіб ефективної боротьби з ними - це не дати їм потрапити в пристрій, тому так важливо встановити гарне захисне рішення.

Як прогнати злочинців зі свого телефону?
Так як захистити себе від мерзенного пронози?