07/03/2016

Triada: duże zagrożenie dla Androida

Technologie Zagrożenia

Na pewno wiesz, jakimi zasadami kieruje się wojsko: najpierw idą zwiadowcy, którzy sprawdzają teren, a następnie idą ciężkie wojska. Tak się to przynajmniej odbywało przed erą cyberwojen. Okazuje się jednak, że trojany zachowują się całkiem podobnie.

triada-trojan-featured

Jest wiele małych trojanów dla Androida, które potrafią uzyskiwać szersze uprawnienia dostępu, czyli uprawnienia administratora. Nasi analitycy szkodliwego oprogramowania Nikita Buchka i Mikhail Kuzin mogą z łatwością wymienić 11 rodzin takich trojanów. Większość z nich jest prawie nieszkodliwa — cała ich dotychczasowa aktywność polegała na wstrzykiwaniu ton reklam i pobieraniu innych. Jeśli chcesz o nich wiedzieć więcej — przeczytaj artykuł naszych badaczy w serwisie Securelist.

Wracając do analogii z wojskiem, można powiedzieć, że trojany te są zwiadowcami. Po uzyskaniu dostępu do uprawnień administratora mogą one pobierać i instalować aplikacje, więc gdy jeden z nich przedostanie się do systemu, chwilę później pojawiają się kolejne. Nasi badacze słusznie podejrzewali, że te małe trojany mogą być używane do pobierania jakiegoś naprawdę złego szkodliwego programu, który może poważnie zaszkodzić właścicielowi zainfekowanego urządzenia.

Dokładnie taki scenariusz wydarzył się niedawno. Teraz małe trojany, typu Leech, Ztorg i Gopro, pobierają jednego z najbardziej zaawansowanych trojanów mobilnych, jakie widzieli nasi analitycy — nazywaliśmy go Triada.

Triada to modułowy trojan mobilny, który aktywnie używa uprawnień administratora do zamiany plików systemowych i rezyduje w pamięci RAM urządzenia, przez co bardzo trudno go wykryć.

Kręte ścieżki Triady

Po pobraniu i zainstalowaniu trojana Triada najpierw próbuje on zgromadzić pewne informacje o systemie, takie jak model urządzenia, wersja systemu operacyjnego, ilość wolnego miejsca na karcie SD czy lista zainstalowanych aplikacji. Następnie wysyła te informacje do serwera kontroli i poleceń. Wykryliśmy w sumie 17 serwerów kontroli i poleceń na 4 różnych domenach, więc atakujący prawdopodobnie znają się na rzeczy.

Serwer C&C tworzy plik konfiguracyjny, który zawiera osobisty numer identyfikacyjny urządzenia i niektórych jego ustawień (czas pomiędzy kontaktowaniem się z serwerem, lista modułów do zainstalowania itp.). Po zainstalowaniu modułów są one wdrażane do pamięci krótkoterminowej i usuwane z pamięci urządzenia, przez co trojana o wiele trudniej złapać.

Istnieją jeszcze dwa powody, dla których Triada jest taka trudna do wykrycia i dlaczego tak bardzo zainteresowała naszych badaczy. Po pierwsze, modyfikuje ona Zygote — najważniejszy proces w systemie Androida, który jest używany jako szablon dla każdej aplikacji. Oznacza to, że gdy trojan dostanie się do Zygote, staje się częścią dosłownie każdej aplikacji, która jest uruchamiana na urządzeniu.

triada-zygote

Po drugie, zastępuje ona funkcje systemowe i ukrywa swoje moduły na liście działających procesów i zainstalowanych aplikacji tak, aby system nie zarejestrował żadnych dziwnych procesów, przez co nie wszczyna alarmu.

Nie są to jedyne funkcje systemowe Triady. Jak odkryli nasi badacze, uzyskuje ona także dostęp do wychodzących SMS-ów i filtruje przychodzące — i ten sposób złoczyńcy zdecydowali wykorzystać do zarabiania na trojanie.

Niektóre aplikacje wykorzystują SMS-y podczas dokonywania zakupów w aplikacjach — dane dotyczące transakcji są przesyłane za pośrednictwem krótkiej wiadomości tekstowej. Głównym powodem, dla którego twórcy wybierają SMS-y zamiast tradycyjnych płatności za pośrednictwem internetu, jest to, że nie trzeba posiadać połączenie z Siecią. Użytkownicy nie widzą tych SMS-ów, ponieważ są one przetwarzanie nie przez aplikację obsługującą SMS, ale przez tę, która zainicjowała transakcję.

Triada ma możliwość modyfikowania tych wiadomości, więc pieniądze nie są wysyłane do jakiegoś producenta aplikacji, ale do właścicieli szkodliwego programu. Triada kradnie pieniądze od użytkowników — jeśli nie udało im się kupić tego, co chcieli, lub od twórców aplikacji — jeśli użytkownik z powodzeniem dokończył zakup.

Na chwil obecną jest to jedyny sposób, w jaki cyberprzestępcy mogą czerpać korzyści z Triady, ale nie zapominajmy, że jest to trojan modularny, więc za jednym poleceniem z serwera C&C może zostać przekształcony w dosłownie wszystko.

Chroń swój telefon przed przestępczością zorganizowaną

Jednym z głównych problemów związanych z Triadą jest to, że może ona potencjalnie wyrządzić szkody wielu ludziom. Jak już wspomnieliśmy, Triada jest pobierana przez mniejsze trojany, które uzyskały uprawnienia dostępu. A nasi badacze oszacowali, że w drugiej połowie 2015 roku co 10 użytkownik Androida został zaatakowany przez jednego lub kilka trojanów, więc najprawdopodobniej istnieją miliony urządzeń, które są zainfekowane Triadą.

A zatem, co możesz zrobić, aby ochronić się przed tym zagrożeniem?

  1. Nigdy nie zapominaj o aktualizacjach systemowych. Okazało się, że te mniejsze trojany mają trudności z uzyskaniem uprawnień dla Androida w wersji 4.4.4 i wyższych, ponieważ wiele luk zostało w nich załatanych. Zatem jeśli posiadasz Androida 4.4.4 lub jakąś nowszą wersję tego systemu, masz małe szanse na to, że zostałeś zainfekowany Triadą. Chociaż wg naszych statystyk około 60% użytkowników Androida wciąż posiada Androida 4.4.2 i niższe. 01_en
  2. Najlepiej w ogóle unikaj ryzyka, bez względu na wersję swojego systemu. Zainstaluj antywirusa na urządzeniu z Androidem. Kaspersky Internet Security for Androidwykrywa wszystkie trzy moduły Triady, więc Twoje pieniądze będą bezpieczne. Pamiętaj, że w wersji bezpłatnej skanowanie nie uruchamia się automatycznie.

Triada to kolejny przykład na to, że nastała naprawdę paskudna moda: twórcy szkodliwych programów traktują system Android bardzo poważnie, a najnowsze próbki są tak złożone, jak ich wersja na system Windows. Jedyną słuszną drogą na walkę z takimi zagrożeniami jest bycie proaktywnym, więc zainstalowanie dobrego programu antywirusowego to podstawa.