Triada est arrivé sur Android

Bienvenue sur les pages du blog iCover ! Le nombre de petits chevaux de Troie attaquant les gadgets Android et cherchant à obtenir des droits de superutilisateur afin de les prendre sous contrôle augmente comme une boule de neige. Ainsi, les experts de Kaspersky Lab ont immédiatement nommé au moins 11 familles malveillantes spécialisées dans la mise en œuvre d'un tel scénario. La grande majorité d'entre eux sont relativement inoffensifs et se manifestent par la publicité intrusive et le téléchargement de leur propre type. Et si vous essayez de faire une analogie avec les opérations militaires, alors ces chevaux de Troie sont une sorte d'éclaireurs envoyés au camp ennemi afin d'obtenir les informations nécessaires à l'organisation d'une offensive à grande échelle.

Comme vous le savez, avec l'entrée d'un cheval de Troie scout dans le système, on peut bientôt s'attendre à une invasion ciblée de ses satellites plus ou moins dangereux. Et c'est loin d'être le fait que parmi les partenaires du scout il n'y aura pas de programmes malveillants qui représentent une menace bien plus grande que la publicité virale banale. C'est ainsi que la situation avec le cheval de Troie Troada modulaire (selon la terminologie KAS) évolue, ce que les experts ont reconnu comme l'un des chevaux de Troie les plus complexes, dangereux et rusés identifiés à ce jour sur les appareils mobiles.

Le cheval de Troie modulaire Triada, qui utilise activement les privilèges root et modifie les fichiers système, est téléchargé par de petits chevaux de Troie comme Leech, Ztorg et Gopro. Détecter un cheval de Troie est assez difficile, car il existe pour la plupart dans la RAM de l'appareil.

Chemin du guerrier noir

Une fois dans l'appareil, les «scouts malveillants» obtiennent des informations clés sur le système, notamment des données sur la version du système d'exploitation, le modèle de l'appareil, la taille de la carte SD, une liste des applications préinstallées, etc. près de 17 serveurs répartis sur 4 domaines différents.

Après avoir reçu un paquet d'informations du cheval de Troie, le serveur de commandes lui envoie en réponse un fichier de configuration contenant l'ID personnel du périphérique infecté et un ensemble d'instructions en cours: à quels intervalles de temps le malware doit communiquer avec le serveur, quels modules doivent être installés, etc. Juste après l'installation les modules sont effacés de la mémoire permanente de l'appareil, mais restent dans sa RAM. Tellement déguisé en Triada.

Il est à noter que la complexité de la détection des logiciels malveillants est également associée à la modification par le cheval de Troie du processus Zygote - l'un des processus de base du système d'exploitation Android utilisé pour installer d'autres applications. Par conséquent, dès que Triada arrive sur le Zygote, il fait ensuite partie de chaque application installée sur votre smartphone.



En remplaçant les fonctions système, la Triade masque ses modules de la liste des processus en cours d'exécution et des applications installées. Ainsi, la victime ne soupçonne même pas depuis quelque temps que l'appareil est sous contrôle externe. En plus des modifications ci-dessus apportées par le malware dans le système, la Triade contrôle le processus d'envoi de SMS et a la capacité de filtrer les messages entrants. C'est à ce stade que Triada transforme le smartphone de l'utilisateur en une presse à imprimer.

Comme vous le savez, certaines applications vous permettent d'effectuer des achats internes de biens et services sans avoir besoin d'une connexion Internet. Dans ce cas, le processus d'identification s'effectue par l'envoi de SMS. Dans le même temps, puisque les messages ne sont pas traités par le lecteur SMS, mais par l'application initiant la transaction, les utilisateurs ne voient pas les messages eux-mêmes. Cela peut, par exemple, être un autre jeu de shareware pour mobile. Et ici, Triada a la possibilité de retirer des fonds du compte de l'utilisateur, en modifiant les messages financiers afin que l'argent ne vienne pas sur le compte des vrais développeurs ou revendeurs de l'application mobile, mais sur le compte des attaquants. Ainsi, les utilisateurs ne reçoivent pas de jeu payant, ou ils le reçoivent, mais dans ce cas, les frais ne parviennent pas aux développeurs.

Selon les experts du laboratoire CAS, c'est la seule manière enregistrée que la Triade, à leur avis, est en mesure de faire du profit à ses créateurs. Mais, soulignent-ils, nous parlons d'un cheval de Troie modulaire. Autrement dit, l'hydre nocive peut être facilement modifiée pour tenir compte de la nouvelle tâche. Et, puisque le malware a des droits d'accès, la portée et les fonctionnalités de réglage du fonctionnement de l'appareil dans ce cas sont complètement et complètement déterminées et contrôlées par les attaquants.



L'une des caractéristiques les plus désagréables du malware est le danger potentiel pour des millions d'utilisateurs d'appareils mobiles. Selon les statistiques du laboratoire KAS, les petits chevaux de Troie susmentionnés, qui offrent la possibilité subséquente de contrôler l'appareil et de transférer des super droits aux attaquants avec une installation probable de la Triade, ont attaqué chaque 10e (!) Smartphone Android à partir du second semestre 2015.

Est-il possible de se protéger contre un malware malicieux? Oui, et pas si difficile - notent-ils en laboratoire.

1. D'abord, faites-en une règle pour installer les dernières mises à jour du système. Il a été remarqué qu'il est difficile pour les petits malwares d'obtenir les privilèges root sur les appareils avec Android 4.4.4 et supérieur, car de nombreuses vulnérabilités ont été corrigées dans ces versions de système d'exploitation. Et donc, si une version plus ou moins récente du système d'exploitation est déjà installée sur le smartphone, alors son propriétaire est en relative sécurité. Dans le même temps, selon les statistiques du laboratoire viral, environ 60% des utilisateurs d'Android sont assis sur la version 4.4.2 et les versions antérieures de cet OS. Et ici, les chances de rencontrer la Triade d'une manière ou d'une autre dans sa manifestation sont très élevées.



2. Deuxièmement, il sera plus correct et fiable de ne pas tenter le destin et de ne pas évaluer la probabilité de certaines chances. Ce n'est un secret pour personne que des chevaux de Troie tachetés ont été détectés à plusieurs reprises dans les magasins Google officiels. Une protection fiable de l'appareil contre Triada est en mesure de fournir un antivirus qui le reconnaît. Parmi ces solutions, les experts en sécurité informatique de KAS qui ont identifié le malware suggèrent de considérer Kaspersky Internet Security for Android, qui détecte ses trois composants. Une version gratuite de l' application antivirus est disponible, en supposant un lancement manuel régulier du processus d'analyse.

En résumé, on peut noter que la «Triade» découverte dans le laboratoire KAS est un exemple très éloquent d'une tendance désagréable émergente: la popularité croissante du système d'exploitation Android attire de plus en plus l'attention des développeurs de logiciels malveillants. Dans le même temps, les vulnérabilités Android sont utilisées très efficacement, et le malware lui-même est presque aussi bon que ses homologues Windows en termes de complexité et de furtivité.

---

Chers lecteurs, nous sommes toujours heureux de vous rencontrer et de vous attendre sur les pages de notre blog. Nous sommes prêts à continuer de partager avec vous les dernières nouvelles, à examiner les documents et autres publications, et nous ferons de notre mieux pour rendre le temps passé avec nous utile pour vous. Et, bien sûr, n'oubliez pas de vous abonner à nos colonnes . Nos autres articles et événements

• Montre Gator Caref. Prendre soin de votre bébé
• KitchenAid
• Sale
• vs : Fitbit Charge HR Polar M400
• . ?
• SSD M.2 — Sandisk x300s
• Xiaomi Power Bank 16000 Xiaomi Power Bank 5000?

Source: https://habr.com/ru/post/fr391277/