Приветствуем вас на страницах блога iCover! Число мелких троянцев, атакующих Android-гаджеты и стремящихся заполучить права суперпользователя с целью взятия их под контроль растет как снежный ком. Так специалисты лаборатории Касперского сходу назвали как минимум 11 вредоносных семейств, специализирующихся на воплощении в жизнь именно такого сценария. Подавляющее большинство из них относительно безобидны и проявляют себя посредством навязчивой рекламы и скачивания себе подобных. И если попытаться привести аналогию с военными действиями, то такие троянцы – своего рода разведчики, отсылаемые в лагерь врага с целью получения информации, необходимой для организации масштабного наступления.
Как известно, с попаданием в систему одного троянца-разведчика в скором времени можно ожидать целевого нашествия его более или менее опасных спутников. И далеко не факт, что в числе компаньонов разведчика не окажутся зловреды, представляющие значительно большую угрозу, чем банальная вирусная реклама. Именно так складывается ситуация с модульным троянцем Triada (по терминологии KAS), которого специалисты признали одним из самых сложных, опасных и хитрых троянов, идентифицированных на мобильных устройствах до сегодняшнего времени.
Модульный троянец Triada активно использующий root-привилегии и модифицирующий системные файлы скачивается мелкими троянцами вроде Leech, Ztorg и Gopro. Обнаружить троян достаточно сложно, поскольку существует он по большей части в оперативной памяти устройства.
Путь темного воина
Попав в устройство, «зловреды разведчики» добывают ключевую информацию о системе, включая данные о версии ОС, модели устройства, объеме SD-карты, списке предустановленных приложений и пр. Собранная информация отсылается на командный сервер, при этом в случае с Триадой, специалисты зафиксировали без малого 17 серверов, располагающихся на 4-х разных доменах.
Получив пакет информации от троянца, командный сервер в ответ посылает ему файл с конфигурациями, содержащий персональный ID инфицированного устройства и набор текущих инструкций: через какие временные интервалы зловред должен будет выйти на связь с сервером, какие модули ему следует установить и др. Сразу после установки модули стираются из постоянной памяти устройства, но остаются при этом в его оперативной памяти. Так маскируется Triada.
Примечательно, что сложность обнаружения зловреда связана и с модификацией троянцем процесса Zygote — одного из базовых процессов в ОС Android, который используется при установке любых других приложений. В итоге, как только Triada добирается до “Зиготы”, впоследствии он становится частью каждого приложения, устанавливаемого на ваш смартфон.
Подменив системные функции, Триада скрывает свои модули из списка запущенных процессов и установленных приложений. Таким образом, жертва какое-то время даже и не подозревает, что устройство пребывает под внешним управлением. Помимо перечисленных модификаций, совершаемых зловредом в системе, Триада контролирует процесс отправки SMS и располагает возможностью фильтрации входящих сообщений. Именно на этом этапе Triada превращает смартфон пользователя в печатный станок.
Как известно, некоторые приложения позволяют совершать внутренние покупки товаров и услуг без необходимости подключения к Интернету. Процесс идентификации в этом случае осуществляется путем отправки SMS. При этом, поскольку сообщения обрабатываются не программой для чтения SMS, а собственно приложением инициирующим транзакцию, то самих сообщений пользователи не видят. Это, к примеру, может быть очередная условно бесплатная игра для мобильного. И здесь Triada получает возможность выводить средства со счета пользователя, модифицируя финансовые сообщения таким образом, что деньги поступают не на счет реальных разработчиков или реселлеров мобильного приложения, а на счет злоумышленников. Таким образом, пользователи не получают оплаченную игру, или же получают, но в таком случае гонорар за нее не доходит до разработчиков.
Как сообщают специалисты лаборатории КАС – это пока единственный зафиксированный способ, которым Триада, по их мнению, способна приносить прибыль своим создателям. Но, подчеркивают они, речь идет о модульном троянце. Т. е. зловредная гидра может быть легко модифицирована с учетом новой поставленной задачи. И, поскольку права доступа у зловреда имеются, масштабы и особенности корректировки работы устройства в данном случае целиком и полностью определяют и контролируют злоумышленники.
Одна из самых неприятных особенностей зловреда – потенциальная опасность для миллионов пользователей мобильных устройств. Согласно данным статистики лаборатории KAS перечисленные выше мелкие троянцы, обеспечивающие последующую возможность взятия устройства под контроль и передачу суперправ злоумышленникам с вероятной установкой Триады атаковали со второй половины 2015 года каждый 10-й (!) Android смартфон.
Можно ли защититься от пронырливого зловреда? Да, и не так уж сложно – отмечают в лаборатории.
1. Во-первых, взять за правило устанавливать последние системные обновления. Замечено, что мелким зловредам сложно перехватить root-привилегии в устройствах с Android 4.4.4 и выше, поскольку масса уязвимостей в этих версиях ОС было закрыто. А посему, если на смартфоне уже установлена более-менее свежая версия операционной системы, то его владелец находится в относительной безопасности. Вместе с тем, согласно статистике вирусной лаборатории около 60% пользователей Android сидят на версии 4.4.2 и более ранних версиях этой ОС. И здесь шансы встретиться с Триадой в том, или в ином ее проявлении оказываются весьма высоки.
2. Во-вторых, будет правильнее и надежнее не испытывать судьбу и не пытаться оценить вероятность тех или иных шансов. Не секрет, что разношерстные троянцы были неоднократно обнаружены и в официальных магазинах Google. Достаточно надежную защиту устройства от Triada способен обеспечить распознающий ее антивирус. В качестве одного из таких решений специалисты по компьютерной безопасности KAS, идентифицировавшие зловреда, предлагают рассмотреть вариант Kaspersky Internet Security для Android, обнаруживающий все три составляющих ее модуля. Доступна бесплатная версия антивирусного приложения, предполагающая регулярный ручной запуск процесса сканирования.
Резюмируя можно отметить, что “Триада”, обнаруженная в лаборатории KAS — весьма красноречивый пример наметившейся неприятной тенденции: растущая популярность ОС Android привлекает все больше внимания разработчиков вредоносного ПО. При этом уязвимости Андроид используются весьма эффективно, а сами зловреды по уровню сложности и скрытности практически не уступают их Windows-собратьям.
Уважаемые читатели, мы всегда с удовольствием встречаем и ждем вас на страницах нашего блога. Мы готовы и дальше делиться с вами актуальными новостями, обзорными материалами и другими публикациями, и постараемся сделать все возможное для того, чтобы проведенное с нами время было для вас полезным. И, конечно, не забывайте подписываться на наши рубрики.
Другие наши статьи и события
Комментарии (29)
wbnet
07.03.2016 12:07>Под ударом как всегда люди с древними дешевыми устройствами на старой версии ОС, которые ставят всякий шлак со всех уголков интернета.
Проще написать — «большинство». Современный дорогой смартфон с новейшей версией ОС и официальным магазином достаточно быстро превращается в то самое устройство из вашего коммента. А количество шлака и/или отсутствие нужной программы в магазине заставляет начинать поиски более комфортных поставщиков софта.
UPD: промазал слегкаvectro73
07.03.2016 12:49Ну я бы не был бы так категоричен. Samsung телефоны обновлены на 5 начиная с GS4, Sony обновлены на 5, начиная с Xperia Z, HTC обновлены на 5, начиная с HTC One M7. Тут стоит оговориться, что я являюсь ярым противников всей бюджетной линейки любого производителя. Считаю, что в линейках должно быть не более 3х смартфонов в разных ценовых диапазонах. То, что производители штампуют этот бюджетный необновляемый шлак, а пользователи голосуют за этот хлам рублем — это проблемы этих пользователей. Купил бюджетный смартфон — готовься к тому, что заплатишь потом. Мое видение идеального положения дел таково: 1) Google усиливает модерацию магазина. Можно так же ввести дополнительные ограничения для приложений, установленных не из магазина. 2) Вендоры максимально лочат загрузчики и мешают получению Root доступа, а так же сокращают линейку смартфонов так, чтобы поддерживать их все в течении 2-х лет.
wbnet
07.03.2016 14:44+2Вокруг меня много людей покупавших (полу)топовые смарты в свое время и довольно быстро эти смарты превращались в тормозящую несовременную тыкву без особых удобств. Это вызывало раздражение и вполне нормальное желание попробовать в следующий раз сэкономить. На замену «топу» покупалась бюджетная железка, которую не жалко через год-полгода выбросить и купить новую. Но вот в чем фича — так как от «бюджетки» ждали немногого, то и устраивала она прилично дольше чем брэндовый топ — то есть, со всеми своими обязанностями, под которые её брали, справлялась дольше чем топовый смарт того же года, ну а понты достигались другими вещами или даже в ряде случаев этой бюджетной железкой — «во, смотри, у меня нонейм в три раза дольше твоего брэнднейма служит, а стоит вчетверо дешевле»
Маркеты же… пускай хоть замодерируются, но там ассортимент всё равно рассчитан на «среднего юзера», а как убедительно показали в соседней статье, этого «среднего» в природе не существует.ExplosiveZ
07.03.2016 14:56Я не знаю, какой «топовый» смартфон Ваши друзья покупали, но мой HTC One M8 до сих пор служит мне, уже 2.5 года. Он даже сейчас лучше многих топовых телефонов, получил обновление до 6.0, HTC Sense обновился до 8 версии.
Gendalph
07.03.2016 21:15Он разве не заменой HTC One был?
ExplosiveZ
07.03.2016 22:16Нет, это один из флагманов HTC.
Gendalph
07.03.2016 22:27Флагманы все же обновляют и для них обычно есть сборки Cyanogen, а вот для не флагманов… Всё печальнее.
SilverHorse
07.03.2016 12:13Во-первых, взять за правило устанавливать последние системные обновления
В свете текущего отношения разработчиков смартфонов к своим продуктам, совет практически бесполезный, ибо в абсолютном большинстве случаев ответ на вопрос "когда выпускался последний апдейт для данного телефона?" — "никогда, и его не будет". Иначе доля смартов с 4.4.2- не составляла бы порядка 75% на диаграмме. Это раз. А два — обновления в части случаев не выпускаются не потому, что разработчик забил, а потому что они просто не встанут на данный телефон.rereture
07.03.2016 16:09-2В итоге берешь старый телефон и ставишь на него новый цианоген допиленный умельцами, и все более менее работает. Просто многие не брендовые производители не заморачиваются апдейтами, прибыльнее выпустить отдельно смарт с новым андройдом с чуть высокой ценой, порой даже железо одно и тоже.
saga111a
07.03.2016 14:15Верно ли я понял, что вредоносное ПО(ВПО) может получать права ROOT на устройствах без "ROOT прав"? Если так, то есть ли примеры того как это происходит?
У меня давно складывается впечатление что андройд антивирусы особо ничего сделать не могут, возможно это мое субъективное мнение, но хотелось бы чтобы это было не так, кто-то может дать адекватную оценку их работы?vectro73
07.03.2016 14:34+1Вы когда-нибудь получали Root на устройствах с помощью утилит для взлома? Например Towelroot или KingRoot и иже с ними? Эти штуки используют найденные уязвимости в ОС, чтобы предоставить пользователю Root доступ. Подобный механизм могут использовать и троянцы, только для других целей.
VoiceDao
07.03.2016 14:45Найдете минутку — посмотрите здесь, достаточно подробно и с конкретными примерами вредоносов и схемы их внедрения…
saga111a
07.03.2016 15:20Спасибо. А есть ли схожие статьи, можно и на англ., с описанием заражения через подключение к wifi. Был осенью в германии, там большие траблы были с подключением к вайфаю, ибо требуется идентификация т.е. заход на сайт с вводом ключа. Так вот эпизодически возникали кошмарные проблемы(попытки отправки смс, глюки в работе большинства программ итп) с телефонами у всех знакомых из рф, которые решались только сбросом настроек телефона. У меня есть подозрения что именно страницы регистрации и рассылали нечто.
xlop-chik
07.03.2016 16:15не интересно читать слизанную с журнала хакер статью 2 дневной давности (https://xakep.ru/2016/03/04/triada-malware/)… или как?
VoiceDao
08.03.2016 00:35Материал, как вы изволили выразиться, "слизан" из другого источника и уже успел стать поводом для небольшой дискуссии. И знаете, людям, которые не относятся к информации как колбасе в магазине — двух или трехдневной свежести, интересно и всегда есть что обсудить. Вам никто не мешает изложить свой взгляд на проблему и пригласить аудиторию для обсуждения — дерзайте.
Azimuth
07.03.2016 16:34Интерсно, засветиться ли Triada на файрволе на этапе "Собранная информация отсылается на командный сервер" ?
vectro73
Самая последняя версия ОС, закрытый загрузчик и отсутствие Root доступа процентов на 90 решит проблемы таких троянов. А голова на плечах и установка софта из проверенных источников решат остальные 10 процентов. Под ударом как всегда люди с древними дешевыми устройствами на старой версии ОС, которые ставят всякий шлак со всех уголков интернета.
Jamato
Без Root не работает Titanum Backup. Это критически важный софт.
vectro73
Субъективно. Раньше пользовался, но только для одного — удаления софта, который считал ненужным. Последнее время мне гораздо важнее работа банковских приложений в полном функционале и без плясок с бубном, автоматическое обновление, knox для дублирования на рабочий и домашний контейнеры. Не хватает полноценного бекапа, да, но я никогда не использовался сторонний софт для этого, жду когда до конца реализует samsung или google. А данные и так хранятся уже в облаке — не потеряются. А debloat и прочие ухищрения считаю баловством. Что не нужно отключается системно без всяких rootов
VoiceDao
… ставят всякий шлак со всех уголков интернета — что касается шлака, тут же сказано и это не секрет, что весьма авторитетные, казалось бы, источники не без греха. Разумеется, если вы будете скачивать антивирус с сайта лаборатории Касперского или, к примеру, DRWeb то трояна вам не впарят.
vectro73
Обычно в этих «авторитетных» источниках шлака тоже море. И трояны эти маскируются тоже в шлаковом софте, типа сборников чит-кодов для игр или чем-то подобном. Тут уже вопросы к Google и их модерации, которая откровенно плохо работает. Тем не менее, нарваться на трояна, используя проверенный софт крайне маловероятно.
user4748
А в Play Market нет "шлака"?
Alexey2005
Тех производителей, которые тратятся на выпуск обновлений, можно пересчитать по пальцам, и даже они сосредоточены по большей части на флагманах. Весь остальной безбрежный океан андроидофонов обновляется исключительно путём замены девайса.
Более того, китайцы воспылали пламенной любовью к Android 4.2. Эта версия заняла в мобильном мире ту же нишу, которую Windows XP занимает на десктопах. Т.е. ОС, изученная вдоль и поперёк, для которой существует уже огромное количество наработок и практик по кастомизации и созданию драйверов, тогда как осваивать новые версии Android — это затраты.
Поэтому даже сейчас, в 2016 году, вовсю выпускаются новые модели устройств на Android 4.2, и не похоже, чтобы ситуация в ближайшее время стала меняться.
Что же до Google Play, то его превратили в помойку, найти в которой нужную программу можно только если вы знаете её название. Поэтому пользователи и ставят программы из "левых" источников (хотя, конечно же, гораздо разумнее использовать левые каталоги лишь для поиска требуемой программы, а установку, зная её название, делать из GP).
И это ещё не считая тех случаев (вполне обычных для ноунейм-китаефонов), когда GP отказывается показывать кнопку "установить", утверждая, что данная программа не поддерживается устройством, хотя в реальности при установке из apk она работает без малейших проблем.
А как быть с тем софтом, который в принципе не попадает в GP? Это всевозможные требующие рута рекламорезалки, программы для записи разговоров и тому подобный специализированный софт.
saga111a
Что такое проверенные источники? — play market часто сыпится на своих проверках, а установка троянов по средствам вай фай сетей это вообще отдельная песня.
Вы уверены что ROOT получают только если телефон "рутован"? судя по тексту статьи обратное вполне может быть чаще верно.
vectro73
Обратное верно для устаревших версий ОС по большей части, начиная с 4.4.4 многие дыры были закрыты. Принцип там тот же, что использовался всевозможными утилитами для получения Root доступа. В принципе, если на телефоне Root без прошивки получен быть не может, можно спать спокойно, а если есть утилиты, которые в пару кликов дадут такой доступ без надобности ставить кастомные Recovery или кастомные ядра — то аппарат безусловно может так же получить удар со стороны троянца.
ingeniare
Почему сразу древние и дешевые устройства? Разработчики смартфонов сами не обновляют прошивки, поэтому большая часть и сидит на 4,2 и 4,4. К тому же далеко не все игроманы, и вот меня например более устраивает мой «древний» infocus, который кстати без рута не поддается локализации. Дело в производителях смартфонов, которые продают, и забывают, а не пользователей.
Alexey2005
Дело в архитектуре Android, которая не рассчитана на централизованное обновление. Под каждую конкретную платформу эта ОС допиливается индивидуально, а механизм обновлений не позволяет централизовано апдейтить отдельные модули прошивки. В итоге если уязвимость в какой-то конкретной библиотеке или к примеру модуле отправки SMS, то Google даже при самом горячем желании не может выпустить патч безопасности и проапгрейдить все уязвимые девайсы разом, заменив один-единственный уязвимый .so.
Вообще, такое ощущение, что Google под маркой "Android" исходно выпустил прототип ОС, собранный на коленке из того что было под рукой за два дня, а уже после захвата рынка начал пилить на основе этого прототипа полноценную ОС. К 6-й версии оно уже начинает походить на полноценный продукт.