حصلت Triada على Android

مرحبًا بك في صفحات مدونة iCover ! يتزايد عدد أحصنة طروادة الصغيرة التي تهاجم أدوات Android وتسعى للحصول على حقوق المستخدم الفائق من أجل السيطرة عليها مثل كرة الثلج. لذا ، قام خبراء Kaspersky Lab على الفور بتسمية 11 عائلة ضارة متخصصة على الأقل في تنفيذ مثل هذا السيناريو. الغالبية العظمى منهم غير مؤذيين نسبيًا وتظهر أنفسهم من خلال الإعلانات المتطفلة وتنزيل نوعهم الخاص. وإذا حاولت إجراء مقارنة مع العمليات العسكرية ، فإن مثل هؤلاء التروجان هم نوع من الكشافة التي يتم إرسالها إلى معسكر العدو من أجل الحصول على المعلومات اللازمة لتنظيم هجوم واسع النطاق.

كما تعلمون ، مع دخول أحد طروادة الكشافة في النظام ، يمكن للمرء أن يتوقع قريبًا غزوًا مستهدفًا لسواتلها أكثر أو أقل خطورة. وهو بعيد كل البعد عن حقيقة أنه لن يكون هناك برامج ضارة بين شركاء الكشافة تشكل تهديدًا أكبر بكثير من الإعلانات الفيروسية العادية. هذه هي الطريقة التي يتطور بها الوضع مع وحدات Troada Trojan (وفقًا لمصطلحات KAS) ، والتي اعترف بها الخبراء على أنها واحدة من أكثر أحصنة طروادة تعقيدًا وخطورة ومكرًا التي تم تحديدها على الأجهزة المحمولة حتى الآن.

يتم تنزيل Trojan modular Trojan ، الذي يستخدم امتيازات الجذر ويقوم بتعديل ملفات النظام ، بواسطة Trojans الصغيرة مثل Leech و Ztorg و Gopro. إن اكتشاف حصان طروادة أمر صعب للغاية ، لأنه موجود في معظمه في ذاكرة الوصول العشوائي للجهاز.

طريق الظلام المحارب

بمجرد الوصول إلى الجهاز ، تحصل "كشافة البرامج الضارة" على معلومات أساسية حول النظام ، بما في ذلك البيانات الموجودة على إصدار نظام التشغيل ، وطراز الجهاز ، وحجم بطاقة SD ، وقائمة التطبيقات المثبتة مسبقًا ، وما إلى ذلك. يتم إرسال المعلومات التي تم جمعها إلى خادم الأوامر ، بينما في حالة Triad ، سجل الخبراء ما يقرب من 17 خادمًا موجودًا في 4 مجالات مختلفة.

بعد تلقي حزمة من المعلومات من حصان طروادة ، يرسل خادم الأوامر ردًا عليه ملف تهيئة يحتوي على المعرّف الشخصي للجهاز المصاب ومجموعة من التعليمات الحالية: في أي وقت يجب أن تتواصل البرامج الضارة مع الخادم ، وما هي الوحدات التي يجب تثبيتها ، وما إلى ذلك مباشرة بعد التثبيت تمحى الوحدات من الذاكرة الدائمة للجهاز ، لكنها تبقى في ذاكرة الوصول العشوائي. متنكرا في زي تريادا.

من الجدير بالذكر أن تعقيد الكشف عن البرامج الضارة مرتبط أيضًا بتعديل طروادة لعملية Zygote - إحدى العمليات الأساسية في نظام التشغيل Android المستخدم لتثبيت أي تطبيقات أخرى. ونتيجة لذلك ، بمجرد وصول Triada إلى Zygote ، تصبح لاحقًا جزءًا من كل تطبيق مثبت على هاتفك الذكي.



من خلال استبدال وظائف النظام ، يخفي Triad وحداته من قائمة العمليات الجارية والتطبيقات المثبتة. وبالتالي ، فإن الضحية لبعض الوقت لا تشك في أن الجهاز تحت سيطرة خارجية. بالإضافة إلى التعديلات أعلاه التي أجرتها البرامج الضارة في النظام ، يتحكم Triad في عملية إرسال الرسائل القصيرة ولديه القدرة على تصفية الرسائل الواردة. في هذه المرحلة يحول Triada الهاتف الذكي للمستخدم إلى مطبعة.

كما تعلم ، تسمح لك بعض التطبيقات بإجراء عمليات شراء داخلية للسلع والخدمات دون الحاجة إلى اتصال بالإنترنت. تتم عملية تحديد الهوية في هذه الحالة عن طريق إرسال الرسائل القصيرة. في الوقت نفسه ، نظرًا لأن الرسائل لا تتم معالجتها بواسطة قارئ الرسائل القصيرة ، ولكن من خلال التطبيق الذي بدأ المعاملة ، لا يرى المستخدمون الرسائل بأنفسهم. قد تكون هذه ، على سبيل المثال ، لعبة تجريبية أخرى للجوال. وهنا يحصل Triada على فرصة سحب الأموال من حساب المستخدم ، وتعديل الرسائل المالية بحيث لا تأتي الأموال إلى حساب المطورين الحقيقيين أو الموزعين لتطبيقات الهاتف المحمول ، ولكن إلى حساب المهاجمين. وبالتالي ، لا يتلقى المستخدمون لعبة مدفوعة ، أو يتلقونها ، ولكن في هذه الحالة ، لا تصل رسومها إلى المطورين.

وفقًا لخبراء مختبر CAS ، هذه هي الطريقة الوحيدة المسجلة التي يستطيع ثالوث ، في رأيهم ، تحقيق الربح لمبدعيها. لكنهم يؤكدون أننا نتحدث عن حصان طروادة معياري. أي أنه يمكن تعديل الهيدرا الضارة بسهولة لمراعاة المهمة الجديدة. ونظرًا لأن البرامج الضارة لها حقوق الوصول ، يتم تحديد نطاق وميزات ضبط تشغيل الجهاز في هذه الحالة بشكل كامل وتام والتحكم فيها من قبل المهاجمين.



واحدة من أكثر الميزات غير السارة للبرامج الضارة هي الخطر المحتمل على ملايين مستخدمي الأجهزة المحمولة. وفقًا لإحصاءات مختبر KAS ، فإن Trojans الصغيرة المذكورة أعلاه ، والتي توفر الإمكانية اللاحقة للسيطرة على الجهاز ونقل الحقوق الفائقة للمهاجمين مع تثبيت محتمل لـ Triad ، هاجمت كل هاتف ذكي يعمل بنظام Android (النصف) من النصف الثاني من عام 2015.

هل من الممكن حماية نفسك من البرامج الضارة الماكرة؟ نعم ، وليس بهذه الصعوبة - لاحظوا في المختبر.

1. أولاً ، اجعله قاعدة لتثبيت آخر تحديثات النظام. لوحظ أنه من الصعب على البرامج الضارة الصغيرة الحصول على امتيازات الجذر على الأجهزة التي تعمل بنظام Android 4.4.4 والإصدارات الأحدث ، حيث تم إغلاق الكثير من نقاط الضعف في إصدارات نظام التشغيل هذه. وبالتالي ، إذا تم تثبيت إصدار أحدث أو أكثر من نظام التشغيل بالفعل على الهاتف الذكي ، فإن صاحبه في أمان نسبي. في الوقت نفسه ، وفقًا لإحصاءات مختبر الفيروسات ، يجلس حوالي 60 ٪ من مستخدمي Android على الإصدار 4.4.2 والإصدارات السابقة من نظام التشغيل هذا. وهنا فرص لقاء ثالوث بطريقة أو بأخرى في مظاهره عالية جدا.



2. ثانياً ، سيكون من الأصح والأكثر موثوقية عدم إغراء المصير وعدم محاولة تقييم احتمالية بعض الفرص. ليس سرا أنه تم الكشف عن أحصنة طروادة المرقطة بشكل متكرر في متاجر Google الرسمية. الحماية الموثوقة للجهاز من Triada قادرة على توفير مضاد للفيروسات يتعرف عليه. كواحد من هذه الحلول ، يقترح خبراء أمن الكمبيوتر KAS الذين حددوا البرامج الضارة النظر في Kaspersky Internet Security لنظام Android ، الذي يكتشف جميع مكوناته الثلاثة. يتوفر إصدار مجاني من تطبيق مكافحة الفيروسات ، بافتراض بدء التشغيل اليدوي المنتظم لعملية المسح.

تلخيصًا ، يمكن ملاحظة أن "Triad" الذي تم اكتشافه في مختبر KAS هو مثال بليغ للغاية على اتجاه غير سار ناشئ: تجذب الشعبية المتزايدة لنظام التشغيل Android المزيد والمزيد من الاهتمام من مطوري البرامج الضارة. في الوقت نفسه ، يتم استخدام ثغرات Android بشكل فعال للغاية ، والبرامج الضارة نفسها جيدة تقريبًا مثل نظيراتها في Windows من حيث التعقيد والخلسة.

---

أعزائي القراء ، يسعدنا دائمًا أن نلتقي وننتظرك على صفحات مدونتنا. نحن على استعداد لمواصلة مشاركة أحدث الأخبار ومواد المراجعة والمنشورات الأخرى معك ، وسنحاول بذل قصارى جهدنا لجعل الوقت الذي تقضيه معنا مفيدًا لك. وبالطبع ، لا تنسى الاشتراك في أعمدتنا . مقالاتنا وأحداثنا الأخرى

• جاتور كارف واتش. رعاية طفلك
• KitchenAid
• Sale
• vs : Fitbit Charge HR Polar M400
• . ?
• SSD M.2 — Sandisk x300s
• Xiaomi Power Bank 16000 Xiaomi Power Bank 5000?

Source: https://habr.com/ru/post/ar391277/