首页
社区
课程
招聘
专家观点:“Triada”比所有安卓威胁都要复杂
发表于: 2016-3-17 16:12 2092

专家观点:“Triada”比所有安卓威胁都要复杂

2016-3-17 16:12
2092
新闻链接:http://www.seehand.com/community/1433.html
新闻时间:2016年03月15日 15:06
新闻正文:“卡巴斯基实验室”研究人员发现了一款安卓木马,事实证明,它的复杂性并不比针对Windows的木马逊色。这个新的移动恶意软件被命名为Triada,与所有已知的安卓威胁所不同的是,它能够将其代码植入安装在被感染设备上的所有应用程序中。据专家介绍,它对于安卓4.4.4及以下版本特别危险。

分析指出,为了访问应用,Triada修改了Zygote系统进程,Zygote是每个新的安卓应用的模板。该木马变成这个模板的一部分,并因此进入每一个运行的程序。“我们首先遇到的是一个类似itw的技术,为了实现这一技术,Zygote只能以Proof-of-Concepts的形式存在。”分析人员米哈伊尔-库金和尼基塔-布奇卡在Securelist博客中写道。

新的恶意软件具有模块化的结构。主要加载程序(检测为Backdoor.AndroidOS.Triada)建立了当前系统文件夹里存在的所有必要模块,并以不引起用户怀疑的名字命名(AndroidGuardianship.apk, GoogleServerInfo.apk, USBUsageInfo.apk等等)。Triada可以访问这些文件夹,获取root权限,并从受害者那里发现新的秘密。

从文本中下载后,恶意软件模块会从磁盘中移除,仅保存在内存中,这极大地增加了检测和删除它的困难度。为了在用户设备和其他应用中隐藏各个运行过程,该木马策略性地替代了了安卓的返回运行资源列表的功能,安装/运行安装包的安装。专家强调说,这一方案中的恶意模块可被用于执行root权限盗用。

一开始,Triada收集有关被感染设备的信息,包括已安装应用列表,并发送给攻击者。C&C服务器地址以两个列表的形式对代码进行硬编码——主要列表和备份列表。作为响应,该木马会接收加密的配置文件,并定期更新。

像它的许多“狐朋狗友”一样,这一安卓恶意软件的拓展也是通过广告木马创造的僵尸网络进行的。到目前为止,“技师们”已经能找出几个Trida模块;daunlouder(两个冗余模块),一个利用短信拦截器发送短信的团队,从其他应用中发出消息以购买附加内容。最后一个组件也具有修改和过滤支付短信的能力;显然,它的目标就是窃取你的钱财(或者让开发商买他们的软件)。

“Trida就像针对所有安卓设备的威胁进化过程中的一个分水岭,”布奇卡说道:“尽管在此之前大多数针对这一操作平台的木马都比较原始,从现在开始则可以看到产生了新的威胁——很明显它们具备了高度技术复杂性。Triada木马是由一群对手机操作平台非常熟悉的网络犯罪分子设计出来的。该木马对数据所使用了一系列技术在以往已知的任何手机恶意软件中都未曾见过。它所适用的隐藏方法可以有效避免被安装在被感染的设备上之后被检测和清除掉所有恶意软件组件,并且模块的构造可以允许攻击者拓展和改变功能,并限制它们只在被感染设备上的软件和操作系统中运行。由于该恶意软件植入所有的应用中,网络犯罪分子得以不断修改他们的策略以潜入对用户新的攻击领域,并实现利益最大化。”

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//