Триада вернулась: новые версии Android превращают смартфоны в шпионские гаджеты
Новые версии Android значительно увеличили безопасность системы, запретив подразделение систем, даже с привилегиями root. Это привело к неожиданному результату: вредоносное ПО, предварительно устоянное в прошивке устройства, стало практически невозможно удалить. Киберпреступники воспользовались этим, внедряя троянских лошадей непосредственно в системные приложения.
Согласно отчету Kaspersky Lab, именно так разработала программа Triada, ранее известная как вредоносная программа DWPHON. В марте эксперты обнаружили новую версию Triada, встроенную в прошивку на смартфонах, продаваемых через онлайн -рынки. Троянский процесс Zygote заражает процесс воспитания для всех приложений Android — обеспечивая полный компромисс системы.
Лошадь Троянской триады уже использует сложную многоэтапную архитектуру.
Его компоненты вводится в каждый процесс с помощью модифицированной системной библиотеки. Эта библиотека подключается к процессу Zygote и запускает три модуля: вспомогательный модуль, основной задней двери MMS-core.jar и модуль, сфокусированный на краже криптовалюты или установке дополнительных вредоносных программ.
Основная задняя дверь позволяет загружать новые вредоносные модули с серверов управления, направленных на характеристики устройств и установленных приложений. Особое внимание уделяется атакам против заявок на криптовалюту. Злоусовеченные модули заменяют адреса портфеля криптовалют в текстовых полях и QR -кодах, мешают содержимому буферу обмена, а также могут устанавливать вредоносные файлы APK, бездействующие с пользователем.
Triada активно атакует популярные приложения: Telegram, WhatsApp, Instagram, браузеры, Skype, Tiktok и другие. Для каждого приложения были разработаны пользовательские вредоносные модули, которые извлекают токены в сеансах, файлах cookie, пользовательских данных и даже способны снимать и удалять сообщения.
Например, модули телеграммы получают токены пользователей и удаляют сообщения на основе предопределенных шаблонов. Модули WhatsApp могут отправлять сообщения от имени жертвы и удалять отправленные данные. Модуль Instagram крадет файлы cookie из активных сессий, и браузеры могут заменить открытые ссылки на рекламное программное обеспечение или фишинговые сайты.
Triada также может превратить зараженный смартфон в прокси -сервер для перенаправления вредоносного трафика или в секретную отправку SMS для подписки на оплачиваемые услуги. Особое внимание следует уделять модулю Clipper, который встроен в приложение Google Play, и проверяет буфер обмена на адресах криптовалюты каждые две секунды, чтобы заменить их на тех, кто контролируется злоумышленниками.
Анализ серверов Triada C2 показал, что в последние месяцы злоумышленники смогли украсть более 264 000 долларов в криптовалюте, используя адреса и кражу сертификатов. Согласно телеметрии, было заражено более 4500 устройств, причем большинство инфекций сообщалось в Великобритании, Нидерландах, Германии, Бразилии и других странах.
Triada демонстрирует высокий уровень подготовки разработчиков с комментариями в китайском языке в коде модуля. Существуют также сходство с инфраструктурой другого проекта вредоносного ПО VO1D, который показывает возможную связь между группами. Распространение зараженных устройств связано с доставкой смартфонов, характеризующихся фальшивыми отпечатками прошивки. Поставщики устройств, возможно, не знали об угрозе.
