返回新闻列表

卡巴斯基实验室发现Triada:一种入侵安卓大脑的手机木马

        卡巴斯基实验室专家检测到一种被称为Triada的针对安卓设备的最新木马。这种木马在复杂性方面,可以同基于Windows的恶意软件相媲美。这种新发现的木马采取了隐身技术,并且具有模块化和顽固性等特点,是由非常专业的网络罪犯编写的。运行4.4.4以及更早版本安卓系统的设备所面临的风险最大。

        根据卡巴斯基实验室最近发布的关于手机病毒学报告,2015年排名前20位的手机木马中,有近一半都是具有获取超级用户访问权限能力的恶意程序。超级用户权限能够让网络罪犯在用户不知情的情况下,在设备上安装应用。

       这类恶意软件通过用户从不受信任渠道下载/安装的应用进行传播。这些恶意应用也可能会出现在官方的Google Play应用商店,伪装成游戏或娱乐应用进行传播。此外,还可以通过更新常用应用进行安装,极少数情况下也可能会被预装到手机设备上。面临风险最严重的为运行4.4.4和更早版本安卓系统的设备。

       共有11个已知的手机木马家族使用root权限。其中的Ztorg、Gorpo和Leech家族的木马会互相进行协作。被这些木马感染的设备通常会自发组成一个广告僵尸网络,网络罪犯可以利用这一网络在受感染设备上安装不同类型的广告软件。但这还不是全部……

       获取到设备root权限后,上述木马会在被感染设备上下载和安装一个后门程序。之后,下载和激活两个模块,用于下载、安装和启动应用。

       这种应用载入模块和其安装模块为不同类型的木马,但是这些恶意程序都已经被添加到卡巴斯基实验室的反病毒数据库,其检测名称均为——Triada。

控制安卓父进程

这种恶意软件最显著的特点是使用Zygote进程。Zygote是安卓设备上所有应用进程的父进程,其中包含系统程序库以及设备上所有应用运行所需的框架。换句话说,这个进程是一个守护程序,其目的是启动安卓应用。这是一个可适用于任何新安装应用的标准应用进程。这意味着,一旦这种木马进入系统,就成为该应用进程的一部分,可以在设备上启动的任何应用中预先进行安装,甚至可以改变应用的运行逻辑。

这是我们首次发现这一技术被实际应用。之前,能够使用Zygote进程的木马只是一种概念验证。

这种恶意软件使用的隐身技术非常先进。进入到用户的设备后,Triada木马会在几乎所有运行的程序中执行,并且会短期存在于内存中。这使得利用反恶意软件解决方案几乎不可能检测和删除这种恶意木马。Triada会静默运行,其所有的恶意行为都得到很好地隐藏,用户和其它应用程序都无法发现其存在。

Triada木马功能的复杂性表明,其幕后应该有一个非常专业的,并且对被攻击的移动平台具有深度理解的网络犯罪组织。

Triada的业务模式

       Triada木马能够修改其它应用发送的短信。这是目前该木马的一个主要功能。当用户在应用内通过短信购买安卓游戏时,网络罪犯可以修改发送的短信,从而让自己获取到用户支付的费用,而非游戏开发者。

       “Triada木马和Ztorg、Gorpo以及Leech家族的恶意程序标志着基于安卓的威胁演化进入一个新的阶段。它们是首批大范围传播,并且在大多数设备上具有提升权限能力的恶意软件。遭到这些木马攻击的大多数用户位于俄罗斯、印度和乌克兰以及亚太地区国家。对于能够获取设备root权限的恶意应用来说,其危害程度如何估计也不为过。正如以Triada木马为例所展示的一样,这种威胁的主要危害在于其能够为更为复杂和危险的恶意应用提供访问权限。这种恶意程序还具有精心策划的架构,开发这类恶意程序的网络罪犯对被攻击移动平台有很深的了解,”卡巴斯基实验室初级恶意软件分析师Nikita Buchka说。

       要从被感染设备中卸载这种恶意软件几乎不可能,用户只有两种办法清除感染。第一种是对设备进行“root”,之后手动删除恶意应用。第二种方法则是对设备的安卓系统进行越狱。

       卡巴斯基实验室将Triada木马的组件检测为:Trojan-Downloader.AndroidOS.Triada.a;Trojan-SMS.AndroidOS.Triada.a;Trojan-Banker.AndroidOS.Triada.a;Backdoor.AndroidOS.Triada

       要了解更多关于Triada详情,请访问Securelist.com.