«Лаборатория Касперского» обнаружила нового трояна для платформы Android, который с технической точки зрения значительно превосходит все другие аналогичные вредоносные программы. Зловред получил имя Triada.
Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на заражённом устройстве, и возможность менять логику их работы. Кроме того, троян характеризуется модульной архитектурой и наличием ряда инструментов для эффективного сокрытия своих следов на инфицированном мобильном устройстве.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. «Лаборатория Касперского» подчёркивает, что это первый известный случай эксплуатирования злоумышленниками процесса Zygote — ранее подобные техники рассматривались исключительно с теоретической точки зрения.
Благодаря модульной архитектуре зловреда злоумышленники получают возможность загружать на устройство жертвы только те компоненты, которые требуются для проведения конкретной атаки. При этом троян скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретённым правам суперпользователя.
В текущем виде Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троян перехватывает, модифицирует и фильтрует платёжные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платёжное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры.
Особую угрозу вредоносная программа представляет для пользователей Android версии 4.4.4 и младше. Более подробную информацию о Triada можно найти здесь.
Источник:
