Android platformas mobilo ierīču apdraudējumi sarežģītības ziņā vairs neatpaliek no ļaunprogrammatūrām, kas uzbrūk tradicionālajiem datoriem. Kaspersky Lab ir konstatējis mobilo ierīču Trojas zirgu Triada, kas no tehniskā viedokļa ievērojami pārspēj visas citas līdzīgās ļaunprogrammatūras. Triada raksturīgās iezīmes ir prasme ieviest savu kodu visās lietotnēs, kas atrodas inficētajā ierīcē, kā arī iespēja mainīt to darbības loģiku. Turklāt ļaunprogrammatūra rūpīgi slēpj savas klātbūtnes pēdas sistēmā, tāpēc to nav viegli atklāt un likvidēt. Šis apdraudējums ir īpaši aktuāls Android versijas 4.4.4 un vecāku lietotājiem. 

Triada iegūst piekļuvi visām lietotnēm, izmantojot vecākprocesu Zygote, kas ir visu Android lietotņu veidne (dēmons). Nonākot šajā procesā, ļaunprogrammatūra kļūst par veidnes daļu. Šis ir pirmais gadījums, kad uzbrucēji izmanto vecākprocesu Zygote; agrāk tādi paņēmieni tika aplūkoti vienīgi no teorētiskā viedokļa.

zygote

Cita Triada raksturīga iezīme ir tā modulārā struktūra. Galvenā ielādēšanas programma instalē ierīcē dažādus ļaunprogrammatūras moduļus, kam piemīt tās funkcijas, kādas tobrīd ir vajadzīgas uzbrucējiem. Turklāt Trojas zirgs slēpj savus moduļus no instalēto lietotņu un pakotņu saraksta, kā arī no palaisto pakalpojumu saraksta. Visi moduļi glabājas sistēmas mapēs, kurām ļaunprogrammatūra saņem piekļuvi ar nesankcionēti iegūtām galvenā lietotāja tiesībām.

Pašlaik Triada tiek izmantots, lai zagtu lietotāju vai izstrādātāju naudu papildu satura pirkšanas procesā leģitīmā lietotnē. Lai to veiktu, Trojas zirgs pārtver, modificē un filtrē maksājumu īsziņas. Piemēram, kad lietotājs kaut ko pērk spēles iekšējā veikalā, uzbrucēji var modificēt izejošo maksājuma īsziņu tādā veidā, lai lietotāja naudu saņemtu viņi, nevis spēles izstrādātāji.

«Triada ir savdabīga Rubikona pret Android vērsto apdraudējumu evolūcijā. Iepriekš lielākā daļa šai platformai domāto Trojas zirgu bija diezgan primitīvi, bet tagad uz skatuves iznāk jauni apdraudējumi ar augstu tehniskās sarežģītības līmeni. Trojas zirgu Triada neapšaubāmi ir izstrādājuši kibernoziedznieki, kas ļoti labi pārzina uzbrukumam pakļauto mobilo platformu. Šā Trojas zirga izmantoto paņēmienu klāsts nav sastopams nevienā mums zināmajā mobilo ierīču ļaunprogrammatūrā. Pēc ļaunprogrammatūras sastāvdaļu instalēšanas inficētajā ierīcē izmantotās slēpšanas metodes ļauj efektīvi izvairīties no to atklāšanas un likvidēšanas, bet modulārā arhitektūra ļauj uzbrucējiem paplašināt un mainīt funkcionalitāti, un viņus ierobežo tikai operētājsistēmas un ierīcē instalēto lietotņu iespējas. Tā kā ļaunprogrammatūra iekļūst visās lietotnēs, kibernoziedznieki potenciāli var mainīt to loģiku, lai apgūtu jaunus uzbrukumu virzienus un palielinātu savu peļņu,» paskaidro Kaspersky Lab antivīrusu analītiķis Ņikita Bučka.

Par pašlaik vissarežģītāko mobilo ierīču Trojas zirgu Triada vairāk lasiet Kaspersky Lab analītiskajā rakstā https://securelist.com/analysis/publications/74032/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/

Komentāri 1

Leave a Reply

  • smaragds
    March 10, 2016, 21:34

    Katru dienu konstatē jaunus trojanus. Un ne tikai karspersky.