В конце февраля «Лаборатория Касперского» сообщила о появлении одной из самых опасных среди ориентированных на Android вредоносных программ под названием Acecard; и вот уже и новое открытие: сложный, скрытный и профессионально сработанный вредоносный набор под кодовым наименованием Triada. Несмотря на то, что это угроза, главным образом, потребительского уровня, Triada также потенциально опасна для бизнеса, связанного с мобильными приложениями.
Три в одном
Под именем Triada скрываются три семейства мобильных троянцев, которых объединяет один загрузчик приложений и общие установочные модули. Эти трояны — Ztorg, Gorpo и Leech — кооперируются друг с другом, а заражённые ими устройства соединяются в своеобразный рекламный ботнет, который операторы угрозы могут использовать для распространения различных видов рекламного ПО.
Но самой выдающейся особенностью Triada является её способность получать привилегии суперпользователя (root).
Ставка на мозг
В прошлом году Securelist отметил растущую популярность вредоносных программ для Android, которые получают корневой доступ к устройству и используют его для установки приложений и показа агрессивной рекламы. Порой они так навязчивы, что устройство становится практически непригодным для использования из-за огромного количества назойливой рекламы и приложений, устанавливающихся без согласия пользователя.
Восход #Triada: мобильные #зловреды становятся всё сложнее. #безопасность
Tweet
Авторы Securelist предсказывали, что в один прекрасный день эти рекламные трояны начнут распространять вредоносные программы. Этот прогноз сбылся.
«С помощью таких рутовальщиков стал распространяться самый сложный из известных нам мобильных троянцев.», — заявили Никита Бучка и Михаил Кузин, авторы статьи на Securelist.
Вышеупомянутый рекламный ботнет теперь скармливает жертвам уникальный троян, который имеет модульную функциональность с активным использованием привилегий суперпользователя. Его основная часть существует только в оперативной памяти устройства, что делает практически невозможным обнаружение и удаление трояна с помощью защитных решений. Triada также встраивается во все процессы, запущенные на устройстве.
Что особенно тревожит, Triada использует Zygote — родительский процесс приложения на Android, который содержит системные библиотеки и фреймворки, используемые каждым приложением, установленным на устройстве.
Другими словами, это демон, чья цель состоит в том, чтобы запускать приложения для Android. Это стандартный процесс, который работает для каждого нового установленного приложения. Это означает, что, как только троян попадает в систему, он становится частью процесса приложений, предустанавливается в любое запущенное на устройстве приложение и может даже менять логику операций приложения. Главной целью этого является достижение максимальной живучести.
Авторы Securelist также отмечают, что в разработке Triada отчётливо заметен «промышленный подход», что предполагает весьма высокую квалификацию его авторов.
Эти люди очень хорошо знают, чего хотят и как этого добиться.
А хотят они денег
Основной функцией трояна является перенаправление финансовых SMS-транзакций, когда пользователь осуществляет онлайновые платежи, приобретая дополнительный контент в легитимных приложениях. Деньги отправляются преступникам, а не разработчику программного обеспечения.
В зависимости от того, получит пользователь оплаченный им контент или нет, троян крадёт деньги либо у пользователя (если пользователь не получает контент), либо у разработчиков легитимного программного обеспечения (если пользователь контент получает).
Другими словами, Triada представляет потенциальную угрозу для всего рынка мобильных приложений.
Securelist утверждает, что диапазон методов, используемых Triada, до сих пор не встречался ни у какой другой известной мобильной вредоносной программы: «Методы обеспечения скрытности и живучести Triada дают ей возможность эффективно избегать обнаружения и удаления всех вредоносных компонентов после установки на зараженном устройстве; модульная архитектура позволяет злоумышленникам расширять и изменять функциональность таким образом, что их возможности ограничены только возможностями операционной системы и приложений, установленных на устройстве».
А тот факт, что Triada проникает во все приложения, установленные в системе, означает, что преступники могут задействовать новые векторы атаки на пользователей и в дальнейшем максимизировать свою выгоду.
Авторы Securelist сравнивают сложность Triada с вредоносными программами под Windows, отмечая, что эволюция угроз для Android уже вышла на новый уровень.
Полный текст отчёта Securelist о Triada доступен здесь.
Противодействие и удаление
Продукты «Лаборатории Касперского» определяют компоненты Triada следующим образом:
- Trojan-Downloader.AndroidOS.Triada.a;
- Trojan-SMS.AndroidOS.Triada.a;
- Trojan-Banker.AndroidOS.Triada.a;
- AndroidOS.Triada.
Предотвратить проникновение Triada несколько проще, чем удалить её после заражения. На самом деле, удалить это вредоносное ПО из устройства оказывается почти невозможным. Пользователи, желая избавиться от него, оказываются перед выбором из двух вариантов. Первый выход — это «рутинг» устройства и удаление вредоносных программ вручную. Второй вариант — джейлбрейк системы Android на устройстве. Мы обычно такого делать не рекомендуем, но Triada — не обычный случай.
Важно отметить, что Triada поражает пользователей Android 4.4.4 и более ранних версий. Более поздние имеют гораздо меньше уязвимостей, которые могут эксплуатироваться вредоносными программами для получения корневого доступа. Так что, если есть возможность обновить систему, стоит это сделать как можно скорее.
Исторические параллели
При всём том, что Securelist сравнивает Triada с вредоносным ПО для Windows из-за сложности, прослеживаются и другие параллели.
Windows стала наиболее атакуемой вредоносными программами системой, в основном, благодаря своей популярности у потребителей и слабой защите. Это привлекло полчища вирусописателей, и хотя большого количества вредоносных программ в начале 1990-х годов не было, через десять лет уже наблюдались глобальные пандемии вирусов, атаковавших машины на базе Windows, а сейчас количество образчиков вредоносных программ, выявленных специалистами «Лаборатории Касперского», перевалило далеко за 300 тысяч ежедневно. Большинство из них — вредоносные программы для Windows.
Постепенно вирусописатели перешли от вандализма к получению прибыли от своего кода, данная тенденция сегодня прослеживается отчётливо.
В погоне за деньгами авторы вредоносных программ теперь пишут очень сложные мобильные #троянцы
Tweet
А теперь есть Android. Самая популярная мобильная платформа в мире (спасибо, Google!) и, следовательно, самая атакуемая. Ранние версии Android появились, когда мобильные вредоносные программы были малочисленны и редки. Сейчас уже смело можно утверждать, что Android оказался наиболее благоприятной средой для мобильных вредоносных программ, которые выросли и в количестве, и в сложности. Причин тому много, и мы останавливались на них ранее. Несмотря на это, Google предпринял грандиозные усилия по повышению уровня безопасности, но скорость принятия новых версий оставляет желать лучшего: по состоянию на март 2016 года лишь около 36% Android -устройств работали на версии 5.x (Lollipop), выпущенной в 2014 году, в то время как версия 6.0 (Marshmallow), вышедшая в октябре 2015 года, заняла скромную долю в 2,3%. Остальное принадлежит более ранним версиям.
Со временем и частные пользователи, и предприятия научились защищать свои конечные точки на базе Windows. Теперь пора понять, что мобильные вредоносные программы настолько же опасны и разрушительны, и следить за тем, чтобы они не проникали в устройства.
Kaspersky Endpoint Security for Business (версии Select, Advanced и Total) предоставляет компаниям надёжную защиту корпоративных мобильных устройств от распространённых мобильных угроз, таких как фишинг, спам, вредоносные программы, запуск неавторизованных приложений и т.п. Важно отметить, что инциденты с рутингом и джейлбрейком обнаруживаются автоматически, что обеспечивает дополнительный уровень защиты от Triada и других рутинговых вредоносных программ, а заражённые устройства блокируются до того, как будет нанесён какой-либо ущерб корпоративной инфраструктуре. Дополнительную информацию о Kaspersky Endpoint Security см. здесь.