Triada chegou ao Android

Bem-vindo às páginas do blog iCover ! O número de pequenos cavalos de Troia atacando dispositivos Android e buscando obter direitos de superusuário para controlá-los está crescendo como uma bola de neve. Portanto, os especialistas da Kaspersky Lab nomearam imediatamente pelo menos 11 famílias mal-intencionadas especializadas na implementação desse cenário. A grande maioria deles é relativamente inofensiva e se manifesta através de publicidade intrusiva e download de sua própria espécie. E se você tentar fazer uma analogia com as operações militares, esses cavalos de Tróia são uma espécie de batedor enviado ao campo inimigo para obter as informações necessárias para organizar uma ofensiva em larga escala.

Como você sabe, com a entrada de um Trojan de reconhecimento no sistema, pode-se esperar em breve uma invasão direcionada de seus satélites mais ou menos perigosos. E está longe do fato de que, entre os parceiros do escoteiro, não haverá programas maliciosos que representem uma ameaça significativamente maior do que a publicidade viral banal. É exatamente assim que a situação do Troada Trojan modular (de acordo com a terminologia KAS) se desenvolve, que os especialistas reconheceram como um dos Trojans mais complexos, perigosos e astutos identificados em dispositivos móveis até o momento.

O Trojan modular Triada, que usa ativamente privilégios de root e modifica os arquivos do sistema, é baixado por pequenos Trojans como Leech, Ztorg e Gopro. Detectar um Trojan é bastante difícil, pois ele existe na maior parte da RAM do dispositivo.

Caminho do Guerreiro das Trevas

Uma vez no dispositivo, os “rastreadores de malware” obtêm informações importantes sobre o sistema, incluindo dados sobre a versão do SO, modelo do dispositivo, tamanho do cartão SD, uma lista de aplicativos pré-instalados etc. As informações coletadas são enviadas ao servidor de comando, enquanto no caso da Tríade, os especialistas registram quase 17 servidores localizados em 4 domínios diferentes.

Depois de receber um pacote de informações do Trojan, o servidor de comando em resposta envia um arquivo de configuração que contém o ID pessoal do dispositivo infectado e um conjunto de instruções atuais: em que intervalos o malware deve se comunicar com o servidor, quais módulos devem ser instalados, etc. Logo após a instalação Os módulos são apagados da memória permanente do dispositivo, mas permanecem em sua RAM. Tão disfarçado como Triada.

Vale ressaltar que a complexidade da detecção de malware também está associada à modificação pelo Trojan do processo Zygote - um dos processos básicos no sistema operacional Android usado para instalar outros aplicativos. Como resultado, assim que o Triada chega ao Zygote, ele passa a fazer parte de todos os aplicativos instalados no seu smartphone.



Ao substituir as funções do sistema, a Triad oculta seus módulos da lista de processos em execução e aplicativos instalados. Assim, a vítima há algum tempo nem suspeita que o dispositivo esteja sob controle externo. Além das modificações acima feitas pelo malware no sistema, a Tríade controla o processo de envio de SMS e tem a capacidade de filtrar as mensagens recebidas. É nesse ponto que Triada transforma o smartphone do usuário em uma impressora.

Como você sabe, alguns aplicativos permitem fazer compras internas de bens e serviços sem a necessidade de uma conexão com a Internet. O processo de identificação neste caso é realizado enviando SMS. Ao mesmo tempo, como as mensagens são processadas não pelo leitor de SMS, mas pelo aplicativo que inicia a transação, os usuários não veem as próprias mensagens. Este, por exemplo, pode ser outro jogo de shareware para celular. E aqui Triada tem a oportunidade de sacar fundos da conta do usuário, modificando mensagens financeiras para que o dinheiro não chegue à conta dos verdadeiros desenvolvedores ou revendedores do aplicativo móvel, mas à conta dos atacantes. Assim, os usuários não recebem um jogo pago, ou recebem, mas, neste caso, a taxa por ele não chega aos desenvolvedores.

Segundo os especialistas do laboratório do CAS, esta é a única maneira registrada em que a Tríade, em sua opinião, é capaz de trazer lucro aos seus criadores. Mas, enfatizam, estamos falando de um Trojan modular. Ou seja, a hidra prejudicial pode ser facilmente modificada para levar em conta a nova tarefa. E, como o malware tem direitos de acesso, o escopo e os recursos de ajustar a operação do dispositivo nesse caso são completamente e completamente determinados e controlados pelos invasores.



Um dos recursos mais desagradáveis ​​do malware é o perigo potencial para milhões de usuários de dispositivos móveis. De acordo com as estatísticas do laboratório da KAS, os pequenos cavalos de Troia mencionados acima, que fornecem a possibilidade subseqüente de controlar o dispositivo e transferir super direitos para os invasores com uma provável instalação da Tríade, atacavam a cada 10 (!) Smartphones Android a partir do segundo semestre de 2015.

É possível se proteger de um malware astuto? Sim, e não é tão difícil - eles observam em laboratório.

1. Primeiro, estabeleça uma regra para instalar as atualizações mais recentes do sistema. Observou-se que é difícil para pequenos malware obter privilégios de root em dispositivos com Android 4.4.4 e superior, pois muitas vulnerabilidades foram fechadas nessas versões do sistema operacional. E, portanto, se uma versão mais ou menos recente do sistema operacional já estiver instalada no smartphone, seu proprietário estará em relativa segurança. Ao mesmo tempo, de acordo com as estatísticas do laboratório de vírus, cerca de 60% dos usuários do Android estão na versão 4.4.2 e versões anteriores deste sistema operacional. E aqui as chances de encontrar a Tríade de uma maneira ou de outra em sua manifestação são muito altas.



2. Em segundo lugar, será mais correto e confiável não tentar o destino e não tentar avaliar a probabilidade de certas chances. Não é segredo que Trojans malhados foram detectados repetidamente nas lojas oficiais do Google. A proteção confiável do dispositivo da Triada é capaz de fornecer um antivírus que o reconhece. Como uma dessas soluções, os especialistas em segurança de computadores da KAS que identificaram o malware sugerem considerar o Kaspersky Internet Security for Android, que detecta todos os três componentes. Está disponível uma versão gratuita do aplicativo antivírus, assumindo o lançamento manual regular do processo de verificação.

Resumindo, pode-se notar que a “Tríade” descoberta no laboratório da KAS é um exemplo muito eloquente de uma tendência desagradável emergente: a crescente popularidade do sistema operacional Android está atraindo cada vez mais atenção dos desenvolvedores de malware. Ao mesmo tempo, as vulnerabilidades do Android são usadas com muita eficiência, e o malware em si é quase tão bom quanto os do Windows em termos de complexidade e furtividade.

---

Caros leitores, estamos sempre felizes em conhecê-lo e aguardá-lo nas páginas do nosso blog. Estamos prontos para continuar compartilhando com você as últimas notícias, revisar materiais e outras publicações e tentaremos fazer o possível para tornar útil o tempo gasto conosco. E, claro, não se esqueça de se inscrever em nossas colunas . Nossos outros artigos e eventos

• Relógio Gator Caref. Cuidando do seu bebê
• KitchenAid
• Sale
• vs : Fitbit Charge HR Polar M400
• . ?
• SSD M.2 — Sandisk x300s
• Xiaomi Power Bank 16000 Xiaomi Power Bank 5000?

Source: https://habr.com/ru/post/pt391277/