Описание вредоносного ПО

Каждый видит не то, что хочет увидеть

В конце первого квартала «Лаборатория Касперского» обнаружила модульный троянец Backdoor.AndroidOS.Triada, который предоставлял скачиваемым троянцам (полезной нагрузке) права суперпользователя и возможность встроиться в системные процессы. Вскоре после этого, 15 марта, мы нашли один из модулей, позволяющий осуществить опасную атаку – подмену загружаемых в браузере URL.

Обнаруженный зловредный модуль состоит из нескольких частей, которые детектируются «Лабораторией Касперского» как Backdoor.AndroidOS.Triada.p/o/q. Получив права суперпользователя, он стандартными средствами отладки Linux внедряет свою библиотеку (Triada.q, которая затем загружает Triada.o) в процессы следующих браузеров:

  • com.android.browser (стандартный браузер Android)
  • com.qihoo.browser (360 Secure Browser)
  • com.ijinshan.browser_fast (Cheetah browser)
  • com.oupeng.browser (Oupeng browser)

Библиотека перехватывает открывающийся у пользователя URL, анализирует его и при необходимости может изменить на любой другой. Правила для изменения URL загружаются с C&C-сервера в процессе работы модуля.

Схема атаки

В незараженной системе браузер отправляет запрос с URL-адресом на веб-сервер через интернет и получает в ответ страницу.

Каждый видит не то, что хочет увидеть

После заражения Triada в процесс браузера добавляется библиотека, перехватывающая URL. Таким образом, запрос адреса попадает в эту библиотеку, где изменяется и отправляется на другой веб-сервер.

Каждый видит не то, что хочет увидеть

В результате браузер получает не те данные, которые запрашивал, вследствие чего пользователь попадает на совершенно иную страницу.

Сейчас эта схема используется вирусописателями для изменения стандартного поискового «движка», который выбран в браузере у пользователя, а также для замены домашней страницы. По сути, это те же самые действия, которые совершают многочисленные adware-программы для Windows. Тем не менее, нет никаких препятствий к осуществлению аналогичных атак, но уже с перехватом любых URL, в том числе банковских, перенаправлением пользователей на фишинговую страницу и т.д. – для этого мошенникам достаточно отдать соответствующую команду своему творению.

За время наблюдения данный модуль атаковал 247 пользователей, однако интенсивность его атак не спадает. Количество модификаций зловреда невелико – видимо, несмотря на всю «прогрессивность» технологии, авторы этого бэкдора решили сосредоточить усилия на разработке чего-то иного. География распространения очень похожа на географию других рутовальщиков, поскольку этот модуль может работать только вместе с Triada и скачивается им.

Каждый видит не то, что хочет увидеть

Количество атакованных Backdoor.AndroidOS.Triada.p пользователей в разных странах

В заключении хочется отметить, что обычно киберпреступники, специализирующиеся на Android, довольно ленивы – они могут легко украсть деньги напрямую, например, при помощи троянцев, отправляющих SMS на платные номера или подделывающих окна банковских приложений. Но в последнее время мы замечаем, что некоторые злоумышленники начали активно изучать устройство операционной системы, совершенствовать свой арсенал технических средств и проводить сложные атаки, одну из которых мы рассмотрели выше.

Каждый видит не то, что хочет увидеть

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике