«Лаборатория Касперского» обнаружила самый сложный Android-троян
3 марта 2016 года
"Лаборатория Касперского" сообщила об обнаружении мобильного трояна Triada, который с технической точки зрения значительно превосходит все другие аналогичные зловреды. Наиболее серьезную угрозу вирус представляет для владельцев устройств, работающих на базе Android 4.4.4 и более ранних версий OC.
В компании сообщили, что отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на зараженном устройстве, и возможность менять логику их работы. Кроме того, вирус тщательно скрывает следы своего присутствия в системе, поэтому обнаружить и удалить его довольно сложно.
"Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения", - говорится в сообщении "Лаборатории Касперского".
Еще одной особенностью Triada является его модульная структура, благодаря которой на устройство могут быть установлены модули зловреда, обладающие необходимыми злоумышленникам функциями. При этом вирус скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым Triada получает после несанкционированного приобретения прав суперпользователя.
По данным экспертов компании, Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого вирус перехватывает, модифицирует и фильтрует платежные SMS. Например, если пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры.
"Triada – это своего рода Рубикон в эволюции угроз, нацеленных на Android. Если раньше большинство троянцев под эту платформу были довольно примитивными, то теперь на сцену выходят новые угрозы – с высоким уровнем технической сложности. Очевидно, что троянец Triada разработан киберпреступниками, которые очень хорошо разбираются в атакуемой мобильной платформе. Спектр техник, использованных данным троянцем, не встречается ни в одном из известных нам мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления всех компонентов зловреда после их установки на зараженном устройстве, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность, и ограничивают их только возможности операционной системы и установленные на устройстве приложения", – заявил антивирусный аналитик "Лаборатории Касперского" Никита Бучка.
Он также отметил, что возможности Triada дают киберпреступникам потенциальную возможность модифицировать логику установленных на устройстве приложений, чтобы реализовать новые векторы атаки на пользователей и максимизировать свою прибыль.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.