Приветствуем вас на страницах блога iCover! Число мелких троянцев, атакующих Android-гаджеты и стремящихся заполучить права суперпользователя с целью взятия их под контроль растет как снежный ком. Так специалисты лаборатории Касперского сходу назвали как минимум 11 вредоносных семейств, специализирующихся на воплощении в жизнь именно такого сценария. Подавляющее большинство из них относительно безобидны и проявляют себя посредством навязчивой рекламы и скачивания себе подобных. И если попытаться привести аналогию с военными действиями, то такие троянцы – своего рода разведчики, отсылаемые в лагерь врага с целью получения информации, необходимой для организации масштабного наступления.
Как известно, с попаданием в систему одного троянца-разведчика в скором времени можно ожидать целевого нашествия его более или менее опасных спутников. И далеко не факт, что в числе компаньонов разведчика не окажутся зловреды, представляющие значительно большую угрозу, чем банальная вирусная реклама. Именно так складывается ситуация с модульным троянцем Triada (по терминологии KAS), которого специалисты признали одним из самых сложных, опасных и хитрых троянов, идентифицированных на мобильных устройствах до сегодняшнего времени.
Модульный троянец Triada активно использующий root-привилегии и модифицирующий системные файлы скачивается мелкими троянцами вроде Leech, Ztorg и Gopro. Обнаружить троян достаточно сложно, поскольку существует он по большей части в оперативной памяти устройства.
Путь темного воина
Попав в устройство, «зловреды разведчики» добывают ключевую информацию о системе, включая данные о версии ОС, модели устройства, объеме SD-карты, списке предустановленных приложений и пр. Собранная информация отсылается на командный сервер, при этом в случае с Триадой, специалисты зафиксировали без малого 17 серверов, располагающихся на 4-х разных доменах.
Получив пакет информации от троянца, командный сервер в ответ посылает ему файл с конфигурациями, содержащий персональный ID инфицированного устройства и набор текущих инструкций: через какие временные интервалы зловред должен будет выйти на связь с сервером, какие модули ему следует установить и др. Сразу после установки модули стираются из постоянной памяти устройства, но остаются при этом в его оперативной памяти. Так маскируется Triada.
Примечательно, что сложность обнаружения зловреда связана и с модификацией троянцем процесса Zygote — одного из базовых процессов в ОС Android, который используется при установке любых других приложений. В итоге, как только Triada добирается до “Зиготы”, впоследствии он становится частью каждого приложения, устанавливаемого на ваш смартфон.
Подменив системные функции, Триада скрывает свои модули из списка запущенных процессов и установленных приложений. Таким образом, жертва какое-то время даже и не подозревает, что устройство пребывает под внешним управлением. Помимо перечисленных модификаций, совершаемых зловредом в системе, Триада контролирует процесс отправки SMS и располагает возможностью фильтрации входящих сообщений. Именно на этом этапе Triada превращает смартфон пользователя в печатный станок.
Как известно, некоторые приложения позволяют совершать внутренние покупки товаров и услуг без необходимости подключения к Интернету. Процесс идентификации в этом случае осуществляется путем отправки SMS. При этом, поскольку сообщения обрабатываются не программой для чтения SMS, а собственно приложением инициирующим транзакцию, то самих сообщений пользователи не видят. Это, к примеру, может быть очередная условно бесплатная игра для мобильного. И здесь Triada получает возможность выводить средства со счета пользователя, модифицируя финансовые сообщения таким образом, что деньги поступают не на счет реальных разработчиков или реселлеров мобильного приложения, а на счет злоумышленников. Таким образом, пользователи не получают оплаченную игру, или же получают, но в таком случае гонорар за нее не доходит до разработчиков.
Как сообщают специалисты лаборатории КАС – это пока единственный зафиксированный способ, которым Триада, по их мнению, способна приносить прибыль своим создателям. Но, подчеркивают они, речь идет о модульном троянце. Т. е. зловредная гидра может быть легко модифицирована с учетом новой поставленной задачи. И, поскольку права доступа у зловреда имеются, масштабы и особенности корректировки работы устройства в данном случае целиком и полностью определяют и контролируют злоумышленники.
Одна из самых неприятных особенностей зловреда – потенциальная опасность для миллионов пользователей мобильных устройств. Согласно данным статистики лаборатории KAS перечисленные выше мелкие троянцы, обеспечивающие последующую возможность взятия устройства под контроль и передачу суперправ злоумышленникам с вероятной установкой Триады атаковали со второй половины 2015 года каждый 10-й (!) Android смартфон.
Можно ли защититься от пронырливого зловреда? Да, и не так уж сложно – отмечают в лаборатории.
1. Во-первых, взять за правило устанавливать последние системные обновления. Замечено, что мелким зловредам сложно перехватить root-привилегии в устройствах с Android 4.4.4 и выше, поскольку масса уязвимостей в этих версиях ОС было закрыто. А посему, если на смартфоне уже установлена более-менее свежая версия операционной системы, то его владелец находится в относительной безопасности. Вместе с тем, согласно статистике вирусной лаборатории около 60% пользователей Android сидят на версии 4.4.2 и более ранних версиях этой ОС. И здесь шансы встретиться с Триадой в том, или в ином ее проявлении оказываются весьма высоки.
2. Во-вторых, будет правильнее и надежнее не испытывать судьбу и не пытаться оценить вероятность тех или иных шансов. Не секрет, что разношерстные троянцы были неоднократно обнаружены и в официальных магазинах Google. Достаточно надежную защиту устройства от Triada способен обеспечить распознающий ее антивирус. В качестве одного из таких решений специалисты по компьютерной безопасности KAS, идентифицировавшие зловреда, предлагают рассмотреть вариант Kaspersky Internet Security для Android, обнаруживающий все три составляющих ее модуля. Доступна бесплатная версия антивирусного приложения, предполагающая регулярный ручной запуск процесса сканирования.
Резюмируя можно отметить, что “Триада”, обнаруженная в лаборатории KAS — весьма красноречивый пример наметившейся неприятной тенденции: растущая популярность ОС Android привлекает все больше внимания разработчиков вредоносного ПО. При этом уязвимости Андроид используются весьма эффективно, а сами зловреды по уровню сложности и скрытности практически не уступают их Windows-собратьям.
Уважаемые читатели, мы всегда с удовольствием встречаем и ждем вас на страницах нашего блога. Мы готовы и дальше делиться с вами актуальными новостями, обзорными материалами и другими публикациями, и постараемся сделать все возможное для того, чтобы проведенное с нами время было для вас полезным. И, конечно, не забывайте подписываться на наши рубрики.
Другие наши статьи и события