Triada llegó a Android

¡Bienvenido a las páginas del blog de iCover ! El número de pequeños troyanos que atacan dispositivos Android y buscan obtener derechos de superusuario para controlarlos está creciendo como una bola de nieve. Entonces, los expertos de Kaspersky Lab nombraron inmediatamente al menos a 11 familias maliciosas especializadas en la implementación de tal escenario. La gran mayoría de ellos son relativamente inofensivos y se manifiestan a través de publicidad intrusiva y descargas de su propia especie. Y si intentas dar una analogía con las operaciones militares, esos troyanos son una especie de exploradores enviados al campamento del enemigo para obtener la información necesaria para organizar una ofensiva a gran escala.

Como saben, con la entrada de un troyano explorador en el sistema, pronto se puede esperar una invasión selectiva de sus satélites más o menos peligrosos. Y está lejos del hecho de que entre los socios del explorador no habrá programas maliciosos que representen una amenaza significativamente mayor que la publicidad viral banal. Así es como se desarrolla la situación con el troyano Troada modular (según la terminología de KAS), que los expertos han reconocido como uno de los troyanos más complejos, peligrosos y astutos identificados en dispositivos móviles hasta la fecha.

El troyano modular Triada, que utiliza activamente los privilegios de root y modifica los archivos del sistema, es descargado por pequeños troyanos como Leech, Ztorg y Gopro. Detectar un troyano es bastante difícil, ya que existe en su mayor parte en la RAM del dispositivo.

Camino del guerrero oscuro

Una vez en el dispositivo, los "exploradores de malware" obtienen información clave sobre el sistema, incluidos datos sobre la versión del sistema operativo, el modelo del dispositivo, el tamaño de la tarjeta SD, una lista de aplicaciones preinstaladas, etc. La información recopilada se envía al servidor de comandos, mientras que en el caso de la Tríada, los expertos registraron casi 17 servidores ubicados en 4 dominios diferentes.

Después de recibir un paquete de información del troyano, el servidor de comandos en respuesta le envía un archivo de configuración que contiene la identificación personal del dispositivo infectado y un conjunto de instrucciones actuales: a qué intervalos de tiempo el malware debe comunicarse con el servidor, qué módulos deben instalarse, etc. Inmediatamente después de la instalación los módulos se borran de la memoria permanente del dispositivo, pero permanecen en su RAM. Así disfraza Triada.

Cabe destacar que la complejidad de la detección de malware también está asociada con la modificación por parte del troyano del proceso Zygote, uno de los procesos básicos en el sistema operativo Android que se utiliza para instalar cualquier otra aplicación. Como resultado, tan pronto como Triada llega al Zygote, se convierte en parte de cada aplicación instalada en su teléfono inteligente.



Al reemplazar las funciones del sistema, la Tríada oculta sus módulos de la lista de procesos en ejecución y aplicaciones instaladas. Por lo tanto, la víctima durante algún tiempo ni siquiera sospecha que el dispositivo está bajo control externo. Además de las modificaciones anteriores realizadas por el malware en el sistema, la Tríada controla el proceso de envío de SMS y tiene la capacidad de filtrar los mensajes entrantes. Es en este punto que Triada convierte el teléfono inteligente del usuario en una imprenta.

Como sabe, algunas aplicaciones le permiten realizar compras internas de bienes y servicios sin la necesidad de una conexión a Internet. El proceso de identificación en este caso se realiza mediante el envío de SMS. Al mismo tiempo, dado que los mensajes no son procesados ​​por el lector de SMS, sino por la aplicación que inicia la transacción, los usuarios no ven los mensajes ellos mismos. Este, por ejemplo, puede ser otro juego shareware para dispositivos móviles. Y aquí Triada tiene la oportunidad de retirar fondos de la cuenta del usuario, modificando los mensajes financieros para que el dinero no llegue a la cuenta de los desarrolladores o revendedores reales de la aplicación móvil, sino a la cuenta de los atacantes. Por lo tanto, los usuarios no reciben un juego pago, o lo reciben, pero en este caso, la tarifa no llega a los desarrolladores.

Según los expertos del laboratorio CAS, esta es la única forma registrada en que la Tríada, en su opinión, es capaz de generar ganancias para sus creadores. Pero, enfatizan, estamos hablando de un troyano modular. Es decir, la hidra perjudicial puede modificarse fácilmente para tener en cuenta la nueva tarea. Y, dado que el malware tiene derechos de acceso, el alcance y las características de ajustar el funcionamiento del dispositivo en este caso están completamente y completamente determinados y controlados por los atacantes.



Una de las características más desagradables del malware es el peligro potencial para millones de usuarios de dispositivos móviles. Según las estadísticas de laboratorio de KAS, los pequeños troyanos mencionados anteriormente, que brindan la posibilidad posterior de controlar el dispositivo y transferir los super derechos a los atacantes con una probable instalación de la Tríada, atacaban cada 10o (!) Teléfono inteligente Android desde la segunda mitad de 2015.

¿Es posible protegerse de un malware malicioso? Sí, y no es tan difícil, notan en el laboratorio.

1. Primero, establezca una regla para instalar las últimas actualizaciones del sistema. Se ha notado que es difícil para los pequeños malware obtener privilegios de root en dispositivos con Android 4.4.4 y superior, ya que se cerraron muchas vulnerabilidades en estas versiones del sistema operativo. Y, por lo tanto, si una versión más o menos reciente del sistema operativo ya está instalada en el teléfono inteligente, entonces su propietario está en relativa seguridad. Al mismo tiempo, según las estadísticas del laboratorio de virus, aproximadamente el 60% de los usuarios de Android utilizan la versión 4.4.2 y versiones anteriores de este sistema operativo. Y aquí las posibilidades de encontrarse con la Tríada de una forma u otra en su manifestación son muy altas.



2. En segundo lugar, será más correcto y confiable no tentar al destino y no tratar de evaluar la probabilidad de ciertas oportunidades. No es ningún secreto que los troyanos moteados se han detectado repetidamente en las tiendas oficiales de Google. La protección confiable del dispositivo contra Triada es capaz de proporcionar un antivirus que lo reconozca. Como una de estas soluciones, los expertos en seguridad informática de KAS que han identificado el malware sugieren considerar Kaspersky Internet Security para Android, que detecta los tres componentes. Se encuentra disponible una versión gratuita de la aplicación antivirus, suponiendo el inicio manual regular del proceso de escaneo.

En resumen, se puede observar que la "Tríada" descubierta en el laboratorio KAS es un ejemplo muy elocuente de una tendencia desagradable emergente: la creciente popularidad del sistema operativo Android está atrayendo cada vez más atención de los desarrolladores de malware. Al mismo tiempo, las vulnerabilidades de Android se usan de manera muy efectiva, y el malware en sí es casi tan bueno como sus contrapartes de Windows en términos de complejidad y sigilo.

---

Estimados lectores, siempre estamos felices de conocerte y esperarte en las páginas de nuestro blog. Estamos listos para continuar compartiendo con usted las últimas noticias, materiales de revisión y otras publicaciones, y trataremos de hacer nuestro mejor esfuerzo para que el tiempo que pase con nosotros sea útil para usted. Y, por supuesto, no olvides suscribirte a nuestras columnas . Nuestros otros artículos y eventos.

• Reloj Gator Caref. Cuidar a tu bebé
• KitchenAid
• Sale
• vs : Fitbit Charge HR Polar M400
• . ?
• SSD M.2 — Sandisk x300s
• Xiaomi Power Bank 16000 Xiaomi Power Bank 5000?

Source: https://habr.com/ru/post/es391277/