Каждый видит не то, что хочет увидеть

В конце первого квартала «Лаборатория Касперского» обнаружила модульный троянец Backdoor.AndroidOS.Triada, который предоставлял скачиваемым троянцам (полезной нагрузке) права суперпользователя и возможность встроиться в системные процессы. Вскоре после этого, 15 марта, мы нашли один из модулей, позволяющий осуществить опасную атаку – подмену загружаемых в браузере URL.

Обнаруженный зловредный модуль состоит из нескольких частей, которые детектируются «Лабораторией Касперского» как Backdoor.AndroidOS.Triada.p/o/q. Получив права суперпользователя, он стандартными средствами отладки Linux внедряет свою библиотеку (Triada.q, которая затем загружает Triada.o) в процессы следующих браузеров:

• com.android.browser (стандартный браузер Android)
• com.qihoo.browser (360 Secure Browser)
• com.ijinshan.browser_fast (Cheetah browser)
• com.oupeng.browser (Oupeng browser)

Библиотека перехватывает открывающийся у пользователя URL, анализирует его и при необходимости может изменить на любой другой. Правила для изменения URL загружаются с C&C-сервера в процессе работы модуля.

Схема атаки

В незараженной системе браузер отправляет запрос с URL-адресом на веб-сервер через интернет и получает в ответ страницу.

После заражения Triada в процесс браузера добавляется библиотека, перехватывающая URL. Таким образом, запрос адреса попадает в эту библиотеку, где изменяется и отправляется на другой веб-сервер.

В результате браузер получает не те данные, которые запрашивал, вследствие чего пользователь попадает на совершенно иную страницу.

Сейчас эта схема используется вирусописателями для изменения стандартного поискового «движка», который выбран в браузере у пользователя, а также для замены домашней страницы. По сути, это те же самые действия, которые совершают многочисленные adware-программы для Windows. Тем не менее, нет никаких препятствий к осуществлению аналогичных атак, но уже с перехватом любых URL, в том числе банковских, перенаправлением пользователей на фишинговую страницу и т.д. – для этого мошенникам достаточно отдать соответствующую команду своему творению.

За время наблюдения данный модуль атаковал 247 пользователей, однако интенсивность его атак не спадает. Количество модификаций зловреда невелико – видимо, несмотря на всю «прогрессивность» технологии, авторы этого бэкдора решили сосредоточить усилия на разработке чего-то иного. География распространения очень похожа на географию других рутовальщиков, поскольку этот модуль может работать только вместе с Triada и скачивается им.

Количество атакованных Backdoor.AndroidOS.Triada.p пользователей в разных странах

В заключении хочется отметить, что обычно киберпреступники, специализирующиеся на Android, довольно ленивы – они могут легко украсть деньги напрямую, например, при помощи троянцев, отправляющих SMS на платные номера или подделывающих окна банковских приложений. Но в последнее время мы замечаем, что некоторые злоумышленники начали активно изучать устройство операционной системы, совершенствовать свой арсенал технических средств и проводить сложные атаки, одну из которых мы рассмотрели выше.