Описание вредоносного ПО

Каждый видит не то, что хочет увидеть

В конце первого квартала «Лаборатория Касперского» обнаружила модульный троянец Backdoor.AndroidOS.Triada, который предоставлял скачиваемым троянцам (полезной нагрузке) права суперпользователя и возможность встроиться в системные процессы. Вскоре после этого, 15 марта, мы нашли один из модулей, позволяющий осуществить опасную атаку – подмену загружаемых в браузере URL.

Обнаруженный зловредный модуль состоит из нескольких частей, которые детектируются «Лабораторией Касперского» как Backdoor.AndroidOS.Triada.p/o/q. Получив права суперпользователя, он стандартными средствами отладки Linux внедряет свою библиотеку (Triada.q, которая затем загружает Triada.o) в процессы следующих браузеров:

  • com.android.browser (стандартный браузер Android)
  • com.qihoo.browser (360 Secure Browser)
  • com.ijinshan.browser_fast (Cheetah browser)
  • com.oupeng.browser (Oupeng browser)

Библиотека перехватывает открывающийся у пользователя URL, анализирует его и при необходимости может изменить на любой другой. Правила для изменения URL загружаются с C&C-сервера в процессе работы модуля.

Схема атаки

В незараженной системе браузер отправляет запрос с URL-адресом на веб-сервер через интернет и получает в ответ страницу.

Каждый видит не то, что хочет увидеть

После заражения Triada в процесс браузера добавляется библиотека, перехватывающая URL. Таким образом, запрос адреса попадает в эту библиотеку, где изменяется и отправляется на другой веб-сервер.

Каждый видит не то, что хочет увидеть

В результате браузер получает не те данные, которые запрашивал, вследствие чего пользователь попадает на совершенно иную страницу.

Сейчас эта схема используется вирусописателями для изменения стандартного поискового «движка», который выбран в браузере у пользователя, а также для замены домашней страницы. По сути, это те же самые действия, которые совершают многочисленные adware-программы для Windows. Тем не менее, нет никаких препятствий к осуществлению аналогичных атак, но уже с перехватом любых URL, в том числе банковских, перенаправлением пользователей на фишинговую страницу и т.д. – для этого мошенникам достаточно отдать соответствующую команду своему творению.

За время наблюдения данный модуль атаковал 247 пользователей, однако интенсивность его атак не спадает. Количество модификаций зловреда невелико – видимо, несмотря на всю «прогрессивность» технологии, авторы этого бэкдора решили сосредоточить усилия на разработке чего-то иного. География распространения очень похожа на географию других рутовальщиков, поскольку этот модуль может работать только вместе с Triada и скачивается им.

Каждый видит не то, что хочет увидеть

Количество атакованных Backdoor.AndroidOS.Triada.p пользователей в разных странах

В заключении хочется отметить, что обычно киберпреступники, специализирующиеся на Android, довольно ленивы – они могут легко украсть деньги напрямую, например, при помощи троянцев, отправляющих SMS на платные номера или подделывающих окна банковских приложений. Но в последнее время мы замечаем, что некоторые злоумышленники начали активно изучать устройство операционной системы, совершенствовать свой арсенал технических средств и проводить сложные атаки, одну из которых мы рассмотрели выше.

Каждый видит не то, что хочет увидеть

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике