Троянец Triada вводит собственный код в мобильные дополнения
«Корпорация Касперского» нашла мобильный троянец Triada, который в техническом плане существенно опережает все подобные зловреды. Отличительными чертами Triada считаются его дееспособность вводить собственный код во все дополнения, имеющиеся на инфицированном устройстве, и вероятность изменять логику их работы. Также, зловред скрупулезно таит отпечатки собственного присутствия в системе, и увидеть и удалить его сложно. Опасность в особенности актуальна для клиентов Андроид версии 4.4.4 и не менее начальных.
Доступ ко всем дополнениям Triada приобретает в итоге применения процесса Zygote, являющийся стандартом для всех Android-приложений. Попадая в данный процесс, зловред становится частью стандарта. Это первый пример эксплуатирования мошенниками процесса Zygote. Другой отличительной чертой Triada считается его модульная конструкция. Главная программа-загрузчик ставит на устройство разные модули зловреда, владеющие теми функциями, которые в настоящее время необходимы мошенникам. При этом троянец таит собственные модули из перечня поставленных дополнений и пакетов, и из списков заброшенных сервисов. Они все лежат в системных папках, доступ к которым зловред приобретает благодаря несанкционированно купленным правам суперпользователя.
На данный момент Triada применяется для кражи денежных средств клиентов либо создателей в ходе приобретения специального текста в законном дополнении. Для этого троянец перехватывает, трансформирует и фильтрует платежные СМС. Например, когда клиент приобретает что-нибудь во внутриигровом супермаркете, мошенники могут видоизменять исходящее платежное SMS-сообщение так что, чтобы получить денежные средства клиента вместо создателей игры.
«Triada — это в каком-то смысле Рубикон в развития опасностей, направленных на Андроид. Если прежде абсолютное большинство троянцев под данную платформу были достаточно простыми, то сейчас «на сцену» выходят свежие опасности — с большим уровнем технологической проблемы. Логично, что троянец Triada спроектирован киберпреступниками, которые прекрасно разбираются в атакуемой мобильной базе. Диапазон дантист, примененных данным троянцем, не встречается ни в каком из знаменитых нам мобильных зловредов. Примененные способы сокрытия дают возможность качественно избегать обнаружения и снятия всех элементов зловреда после их установки на инфицированном устройстве, но модульная архитектура дает возможность мошенникам увеличивать и изменять работоспособность, и сдерживают их лишь возможности ОС и поставленные на устройстве дополнения. Но так как зловред проходит во все дополнения, киберпреступники вероятно могут видоизменять их логику, чтобы осуществить свежие векторы атаки на клиентов и максимизировать собственную прибыль», — объяснил Михаил Бучка, противовирусный специалист «Корпорации Касперского».