Kaspersky Lab je odkril mobilnega trojanca Triada, ki ogroža operacijski sistem Android

07.03.2016
Objavil: Dare Gliha

Strokovnjaki Kaspersky Laba so zaznali novega trojanca Triada, ki napada naprave z operacijskim sistemom Android. Z vidika kompleksnosti je trojanec primerljiv z zlonamerno programsko opremo, ki napada operacijski sistem Windows. Je skrit, modularen in trajen, napisali pa so ga profesionalni kibernetski kriminalci. Najbolj izpostavljene tveganju so naprave, ki uporabljajo platformo Android OS 4.4.4. ali njene starejše različice.

Nedavna raziskava Kaspersky Laba o mobilni virologiji (ang. Mobile Virusology) je pokazala, da je bila skoraj polovica trojancev v letu 2015 zlonamernih programov s sposobnostjo pridobitve dostopne pravice naduporabnika. Naduporabniški privilegiji kibernetskim kriminalcem brez vedenja uporabnika dajejo pravico za namestitev aplikacij na telefonu.

Ta tip zlonamerne programske opreme se širi prek aplikacij, prenesenih oziroma nameščenih iz virov, ki niso vredni zaupanja. Te aplikacije so včasih lahko tudi v uradni spletni trgovini Google Play pod pretvezo igre ali zabavne aplikacije. Prav tako so lahko nameščene med posodabljanjem obstoječih priljubljenih aplikacij, občasno pa so tudi prednameščene na mobilni napravi. Največjemu tveganju so izpostavljene naprave z nameščenim operativnim sistemom Android OS 4.4.4. ali njegovimi starejšimi različicami.

Obstaja 11 znanih družin mobilnih trojancev, ki uporabljajo korenske privilegije. Trije med njimi – Ztorg, Gorpo in Leech – delujejo v medsebojnem sodelovanju. Naprave, okužene s temi trojanci, se običajno organizirajo v omrežje in ustvarijo nekakšno oglaševalsko omrežje robotskih računalnikov, ki jih zlonamerni akterji lahko uporabijo za namestitev različnega oglaševalskega programja.

Kmalu po ukoreninjenu v napravo zgoraj omenjeni trojanci prenesejo in namestijo zadnja vrata. Ta nato prenesejo in aktivirajo dva modula, ki sta sposobna prenesti, namestiti in zagnati aplikacije.

Nalagalnik aplikacij in njegovi namestitveni moduli se opirajo na različne tipe trojance. Kljub temu pa so bili vsi v protivirusno bazo podatkov Kaspersky Laba dodani pod skupnim imenom – Triada.

Razlikovalna lastnost te zlonamerne programske opreme je uporaba tako imenovane »Zygote« - nadrejenega procesa aplikacije na napravi z operacijskim sistemom Android. Ta vključuje sistem knjižnic in ogrodij, ki jih uporabljajo vse aplikacije, nameščene na napravi. Z drugimi besedami, gre za demon, katerega namen je zagon aplikacij za operacijski sistem Android. To je standardni proces aplikacij, ki deluje ob vsaki novonameščeni aplikaciji. Pomeni, da čim trojanec prodre v sistem, postane del procesa aplikacije in bo prednameščen v vsak zagon aplikacij na napravi. Hkrati lahko celo spremeni logiko operacij v aplikaciji. To je prvi primer, ko je tovrstna aplikacija opažena »na prostem«.

Sposobnosti skrivanja te zlonamerne programske opreme so zelo napredne. Po prodoru v napravo uporabnika se Triada izvaja v skoraj vsakem delovnem procesu in nadaljuje z obstankom v kratkoročnem spominu. Zaradi tega jo je z uporabo rešitev za boj proti zlonamerni programski opremi skoraj nemogoče zaznati in izbrisati. Triada deluje tiho, kar pomeni, da so vse zlonamerne aktivnosti skrite tako pred uporabnikom kot tudi pred drugimi aplikacijami.
Kompleksnost funkcionalnosti trojanca Triada dokazuje dejstvo, da so v ozadju te zlonamerne programske opreme zelo profesionalni kibernetski kriminalci, ki se dodobra spoznajo na usmerjene mobilne platforme.

Trojanec Triada lahko spreminja izhodna kratka sporočila, ki jih pošiljajo druge aplikacije. To predstavlja glavno lastnost zlonamerne programske opreme. Ko uporabnik izvaja nakupe v aplikaciji prek kratkega sporočila za določeno Androidno igro, lahko goljufi spremenijo izhodno kratko sporočilo. To storijo na način, da namesto razvijalcev igre sami prejmejo denar.

»Triada trojancev Ztrog, Gorpo in Leech pomenijo novo stopnjo v evoluciji groženj za naprave z operacijskim sistemom Android. So prva množično razširjena zlonamerna programska oprema s potencialom, da privilegije razširijo na večino naprav. Največ uporabnikov, ki so jih napadli trojanci, je bilo lociranih v Rusiji, Indiji in Ukrajini, pa tudi v državah Azije in Pacifika. Težko je podcenjevati grožnjo zlonamernih aplikacij, ki pridobijo korenski dostop do naprav. Kot kaže primer Triada, je njihova največja grožnja pravzaprav omogočanje dostopa do naprav za veliko bolj napredne in nevarne zlonamerne aplikacije. Prav tako imajo dobro zamišljeno arhitekturo, ki so jo razvili kibernetski kriminalci s poglobljenim znanjem usmerjenih mobilnih platform,« je povedal Nikita Buchka, mlajši analitik zlonamerne programske opreme v Kaspersky Labu.

Ker je odstranitev te zlonamerne programske opreme z naprave skoraj nemogoča, imajo uporabniki na voljo dve opciji, da se je znebijo. Prva je, da dostopijo do korena napreve in ročno izbrišejo zlonamerne aplikacije. Druga opcija je, da sistem Android na napravi zaobidejo (ang. jailbreak).

Izdelki Kaspersky Laba zaznajo naslednje komponente trojanca Triada: Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.