Андроид триада вирус: Мобильный троян Triada поражает самое сердце Android — «Хакер» – Как Удалить Triada (Вирус) С Телефона ⋆ Androidmir.ru

Мобильный троян Triada поражает самое сердце Android — «Хакер»

Специалисты «Лаборатории Касперского» рассказали об обнаружении Android-трояна Triada, назвав его одним из самых технически сложных вредоносов из всех, что им доводилось видеть. Основной особенностью новой малвари является то, что Triada внедряется в родительский процесс Zygote, который выступает шаблоном вообще для всех Android-приложений в системе. В отчете аналитики пишут, что мобильные угрозы уже вплотную приблизились к малвари, которая атакует обычные компьютеры. По сложности мобильные вредоносы практически не уступают своим «старшим братьям». Так, Triada, это первый троян, который на практике осуществляет успешные атаки на процесс Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения и в виде proof-of-concept. Zygote содержит системные библиотеки и фреймворки, используемые практически всеми приложениями, являясь своего рода шаблоном. После проведения атаки, троян становится частью этого шаблона, что дает ему возможность проникнуть во все приложения, установленные на зараженном устройстве, а затем изменить логику их работы. Также Triada использует модульную структуру. То есть основной загрузчик устанавливает на устройство жертвы различные модули малвари, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом троян скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым Triada имеет благодаря несанкционированно полученным правам суперпользователя. Архитектура Triada Хотя возможности трояна велики, на данный момент Triada в основном применяется для кражи денег пользователей и разработчиков в процессе покупки дополнительного контента в легитимных приложениях. Малварь перехватывает, модифицирует и фильтрует платежные SMS-сообщения. К примеру, когда пользователь совершает покупку во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры.
 «Triada – это своего рода Рубикон в эволюции угроз, нацеленных на Android. Если раньше большинство троянцев под эту платформу были довольно примитивными, то теперь «на сцену» выходят новые угрозы – с высоким уровнем технической сложности. Очевидно, что троянец Triada разработан киберпреступниками, которые очень хорошо разбираются в атакуемой мобильной платформе. Спектр техник, использованных данным троянцем, не встречается ни в одном из известных нам мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления всех компонентов зловреда после их установки на зараженном устройстве, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность, и ограничивают их только возможности операционной системы и установленные на устройстве приложения. А поскольку зловред проникает во все приложения, киберпреступники потенциально могут модифицировать их логику, чтобы реализовать новые векторы атаки на пользователей и максимизировать свою прибыль», – пишет Никита Бучка, антивирусный аналитик «Лаборатории Касперского».
С подробным аналитическим отчетом, посвященным Triada, можно ознакомиться здесь.

Фото: "Лаборатория Касперского"

Банковский троян Triada обнаружен в 42 моделях бюджетных Android-смартфонов — «Хакер»

Специалисты компании «Доктор Веб» предупредили, что 42 модели бюджетных Android-смартфонов заражены банкером Triada (Android.Triada.231) прямо «из коробки». Еще в июле 2017 года исследователи «Доктор Веб» сообщили о том, что банковский троян семейства Triada был обнаружен в прошивках смартфонов Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Малварь Android.Triada встраивается в системный процесс Zygote, который отвечает за старт программ на мобильных устройствах. За счет заражения Zygote вредонос внедряется в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое. Хотя другие образчики данного семейства, ранее обнаруженные исследователями, пытались получить root-привилегии для выполнения вредоносных операций, троян Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so на уровне исходного кода. В результате вредоносное приложение «поселяется» непосредственно в прошивке инфицированных мобильных устройств уже на этапе производства, то есть пользователи становятся обладателями зараженных смартфонов «из коробки». Теперь эксперты сообщили, что с момента обнаружения вредоносной программы перечень моделей зараженных устройств пополнился и в настоящий момент насчитывает более 40 наименований. Стоит сказать, что  компания «Доктор Веб» уведомила о проблеме производителей зараженных устройств еще летом прошлого года, но малварь по-прежнему попадает на новые модели смартфонов. Например, теперь она была найдена на смартфоне Leagoo M9, который был анонсирован в декабре 2017 года. Проведенное расследование показало, что троян попал в прошивку по просьбе партнера Leagoo, неназванной компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкции по внесению стороннего кода в системные библиотеки перед их компиляцией. К сожалению, эта сомнительная просьба не вызвала у производителя подозрений, и троян беспрепятственно проник на смартфоны. Анализ приложения, которое компания-партнер предложила добавить в прошивку Leagoo M9, показал, что оно подписано тем же сертификатом, что и троян Android.MulDrop.924, обнаруженный специалистами в 2016 году. Теперь эксперты полагают, что разработчик, попросивший внести дополнительную программу в образ операционной системы, может быть прямо или косвенно причастен к распространению Android.Triada.231. В настоящее время банкер был обнаружен в прошивке следующих смартфонов:
  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510
При этом эксперты предупреждают, что этот список не является окончательным, и перечень инфицированных моделей смартфонов может оказаться гораздо шире. Зараженные банкером устройства продают в России, Польше, Индонезии, Китае, Мексике, Казахстане, Сербии. Исследователи резюмируют, что такое широкое распространение трояна говорит о том, что многие производители Android-устройств уделяют слишком мало внимания вопросам безопасности, и внедрение троянского кода в системные компоненты из-за ошибок или злого умысла может быть весьма распространенной практикой. UPD. 20.03.2018 Представители компании mPTech, производящей устройства под брендом HAMMER, выпустили официальное заявление, согласно которому модель HAMMER Energy, а также другие устройства HAMMER, myPhone и партнеров компании, не заражены банкером Triada. Компания уверяет, что все устройства на Android 6.0 и 7.0 абсолютно чисты. Согласно документу, зараженные модели были обнаружены еще в 2016 году, но эту проблему быстро ликвидировали и с начала 2017 года не было зафиксировано ни одного случая заражения "из коробки".

Новый вирус внедряется в самое сердце Android

Угрозы для мобильных устройств на базе Android перестали уступать по сложности вредоносному ПО, атакующему традиционные компьютеры. «Лаборатория Касперского» обнаружила мобильный троянец Triada, который с технической точки зрения значительно превосходит все другие аналогичные зловреды. Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на зараженном устройстве, и возможность менять логику их работы. А если учесть тот факт, что зловред тщательно скрывает следы своего присутствия в системе, обнаружить и удалить его не так-то просто. Угроза особенно актуальна для пользователей Android версии 4.4.4 и более ранних. 

Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. Это первый случай эксплуатирования злоумышленниками процесса Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения.

Другой особенностью Triada является его модульная структура. Основная программа-загрузчик устанавливает на устройство различные модули зловреда, обладающие теми функциями, которые на данный момент нужны злоумышленникам. При этом троянец скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретенным правам суперпользователя.

На сегодняшний день Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троянец перехватывает, модифицирует и фильтрует платежные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платежное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры.

«Triada – это своего рода Рубикон в эволюции угроз, нацеленных на Android. Если раньше большинство троянцев под эту платформу были довольно примитивными, то теперь «на сцену» выходят новые угрозы – с высоким уровнем технической сложности. Очевидно, что троянец Triada разработан киберпреступниками, которые очень хорошо разбираются в атакуемой мобильной платформе. Спектр техник, использованных данным троянцем, не встречается ни в одном из известных нам мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления всех компонентов зловреда после их установки на зараженном устройстве, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность, и ограничивают их только возможности операционной системы и установленные на устройстве приложения. А поскольку зловред проникает во все приложения, киберпреступники потенциально могут модифицировать их логику, чтобы реализовать новые векторы атаки на пользователей и максимизировать свою прибыль», – поясняет Никита Бучка, антивирусный аналитик «Лаборатории Касперского».

Подробнее о мобильном троянце Triada – самом сложном из существующих сегодня – читайте в аналитическом посте «Лаборатории Касперского»: https://securelist.ru/analysis/obzor/28121/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats.

Как удалить вирус Android.triada.63: алгоритм действий

Смартфоны

Автор Bravers На чтение 2 мин. Опубликовано

25.11.2018

Доброго времени суток всем форумчанам! Я тоже столкнулся с проблемой 10001_1.jar и Triada.63 на своём Philips V377. Проблему решал два дня, поскольку решений в интернет не было нигде. Сейчас вижу, что народ уже тоже разобрался ,так что я слегка поздно, но лучше поздно, чем никогда.

Алгоритм лечения

Итак, конкретно для Philips V377 алгоритм решения проблемы следующий:

  1. “Настройки” – “Домашний экран”: выбрать Google Start.
  2. “Настройки” – “Приложения”: найти PhilipsLauncher и остановить его, снять галочку об уведомлениях, удалить данные и кэш. Теперь до следующей перезагрузки (или установки приложения – у еня он на установке приложений иногда стартовал сам) реклама вас не побеспокоит точно. Файл 10001_1.jar, кстати, тоже. Но остановить этот дырявый лаунчер мало, потому как при следующем запуске системы он всё равно стартует ипривет, реклама!
  3. Ставите KingRoot, получаете root-права.
  4. (ОПЦИОНАЛЬНО) Далее вам будет нужен любой файловый менеджер, который способен показывать всю ФС целиком, а не только часть (root explorer, total commander, far on droid – выбирай на вкус…).
  5. Ставите любой приглянувшийся вам эмулятор терминала. Предоставляете ему root-доступ. Далее в терминале пишете команду: “mount -o remount rw, system” без кавычек. Эта команда перемонтирует раздел system с возможностью записи на него (иначе даже с root-правами вам не удастся с него ничего удалить).
  6. Далее либо в файловом менеджере, либо здесь же терминале с помощью команды “rm -rf” (осторожнее с ней, а то можете удалить лишнего) удаляете PhilipsLauncher, он лежит по пути /system/priv-app/PhilipsLauncher (можно удалить всю папку целиком).
  7. В терминале вводите команду “mount -o remount r, system” – раздел system снова монтируется как read-only.
  8. Установить (если вам не очень нравится Google Start) любой другой лаунчер (ну, кроме филипсовского, естественно ), лично я голосую за Nova Launcher

Всё, вы победили

Однако, если же у вас Triada.63 определился где-либо ещё (т..е. было не одно определение, а несколько), то, увы, перед тем, как выполнять вышеописанные пункты, вам придётся перепрошить телефон с компьютера (желательно именно так), поелику Triada.63 весьма злобен и персистентен

Самое смешное в том, что, судя по форумам, “дырку” в Philips Launcher нашли ещё в 2013 году… Многое говорит о качестве ПО от Philips…
Всем удачи в лечении!

Похожие статьи

Оцените автора

Новый вирус Triada для Android умеет перехватывать платежи

Сотрудники компании «Лаборатория Касперского» бьют тревогу, ведь для платформы Android появился новый вирус, именующий себя Triada. Его опасность заключается в том, что он интегрируется глубоко в систему, изменяет системные файлы и установленные приложения.

Чтобы не требовать установки root-прав на смартфоне или планшете под управлением Android, необходимых для изменения системных файлов, вирус Triada используется уязвимость процессора Zygote, предоставляющую полный доступ к системе без необходимости установки кастомного ядра.

Как только вирус проникает в Android, он сразу же начинает скачивать вредоносные модули, который затем распаковываются на устройство и заменяют собой стандартные файлы. Хакеры могут дистанционно управлять вирусом Triada на свое усмотрение.

Основная опасность нового вируса заключается в том, что он перехватает платежи, проводимые с помощью Android. Например, при покупке в магазине приложений Google Play человек вводит платежный пароль от своей учетной записи в стандартном окне, но на самом деле оно заменено на вредоносное, таким образом все деньги попадают на счета разработчиков Triada. Также опасный вирус имеет перехватывать любые SMS-сообщения, поэтому он запросто сможет обойти двухфакторную идентификацию и навсегда украсть аккаунты Gmail, PayPal и т.д.

Наибольший вред вирус Triada наносит смартфонам и планшетам на операционной системе Android 4.4 KitKat и ниже. Антивирусное ПО пока что не может распознать вирус, а полное удаление из системы в любом случае потребует полной переустановки прошивки, так как стандартные файлы навсегда удаляются с устройства при заражении.

До 15 марта все желающие могут совершенно бесплатно получить спортивный браслет Xiaomi Mi Band 4, потратив на это всего 1 минуту.

Присоединяйтесь к нам в Google News, Twitter, Facebook, ВКонтакте, YouTube и RSS чтобы быть в курсе последних новостей из мира технологий будущего.

Эксперты: «Триада» сложнее всех Android-угроз

Исследователи из «Лаборатории Касперского» обнаружили Android-троянца, который, как оказалось, по сложности не уступает зловредам, ориентированным на Windows. Новый мобильный зловред, нареченный Triada, отличается от всех известных Android-угроз тем, что способен внедрять свой код во все приложения, установленные на зараженном устройстве. По свидетельству экспертов, он особенно опасен для Android версий 4.4.4 и ниже.

Анализ показал, что для получения доступа к приложениям Triada модифицирует системный процесс Zygote, являющийся шаблоном для каждой новой Android-программы. Троянец становится частью этого шаблона и, таким образом, попадает в каждое запускаемое приложение. «Мы впервые сталкиваемся с подобной техникой itw, до этого использование Zygote реализовывалось только в виде Proof-of-Concepts», — пишут аналитики Михаил Кузин и Никита Бучка в блоге Securelist.

Новый зловред имеет модульную структуру. Основная программа-загрузчик (детектируемая как Backdoor.AndroidOS.Triada) устанавливает все нужные на данный момент модули в системные папки под именами, которые не должны вызвать подозрений у пользователя (AndroidGuardianship.apk, GoogleServerInfo.apk, USBUsageInfo.apk и т.п.). Доступ к этим папкам Triada получает, пользуясь правами root, обретенными втайне от жертвы.

После загрузки в контекст зловреда модули удаляются с диска и остаются лишь в оперативной памяти, что значительно затрудняет их обнаружение и удаление. Чтобы скрыть свои отдельно запущенные процессы от пользователя и других приложений, троянец методично подменяет функции Android, возвращающие списки запущенных сервисов, установленных/запущенных приложений, установленных пакетов. Эксперты подчеркивают, что используемые в данной схеме вредоносные модули могут исполняться с незаконно присвоенными привилегиями суперпользователя.

В начале работы Triada собирает информацию о зараженном устройстве, включая список установленных приложений, и отправляет ее злоумышленникам. Адреса C&C-сервера жестко прописаны в коде в виде двух списков — основного и резервного. В ответ троянец получает зашифрованный конфигурационный файл, который впоследствии регулярно обновляется.

Распространяется данный Android-зловред, как и многие его «рутирующие» собратья, через партнерский ботнет, созданный на основе рекламных троянцев. На настоящий момент «лаборантам» удалось выявить несколько модулей Triada; даунлоудер (два дублирующих модуля), компонент для отправки SMS по команде и перехватчик SMS-сообщений, отправляемых из других приложений при покупке дополнительного контента. Последний компонент также способен модифицировать и фильтровать платежные SMS; по всей видимости, он предназначен для хищения денежных средств пользователя (или разработчиков покупаемого им ПО).

«Triada — это своего рода Рубикон в эволюции угроз, нацеленных на Android, — резюмирует Бучка. — Если раньше большинство троянцев под эту платформу были довольно примитивными, то теперь «на сцену» выходят новые угрозы — с высоким уровнем технической сложности. Очевидно, что троянец Triada разработан киберпреступниками, которые очень хорошо разбираются в атакуемой мобильной платформе. Спектр техник, использованных данным троянцем, не встречается ни в одном из известных нам мобильных зловредов. Использованные методы сокрытия позволяют эффективно избегать обнаружения и удаления всех компонентов зловреда после их установки на зараженном устройстве, а модульная архитектура позволяет злоумышленникам расширять и менять функциональность, и ограничивают их только возможности операционной системы и установленные на устройстве приложения. А поскольку зловред проникает во все приложения, киберпреступники потенциально могут модифицировать их логику, чтобы реализовать новые векторы атаки на пользователей и максимизировать свою прибыль».

В китайских смартфонах Nomu и Leagoo найден предустановленный троян — «Хакер»

Специалисты компании «Доктор Веб» предупредили, что в прошивку ряда мобильных устройств прямо «из коробки» внедрен троян семейства Android.Triada. Такая малварь встраивается в системный процесс Zygote, который отвечает за старт программ на мобильных устройствах. За счет заражения Zygote вредонос внедряется в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое. Хотя другие образчики данного семейства, ранее обнаруженные исследователями, пытались получить root-привилегии для выполнения вредоносных операций, троян Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Модифицированная версия библиотеки была обнаружена сразу на нескольких мобильных устройствах. В частности в отчете «Доктор Веб» упомянуты смартфоны Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. «Библиотека libandroid_runtime.so используется всеми приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений», — пишут специалисты компании. Малварь встроена в libandroid_runtime.so таким образом, что получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск трояна происходит именно через нее. После инициализации вредонос выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении работает. Если малврь функционирует в среде Dalvik, она перехватывает один из системных методов, что позволяет отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта. Так как внедрение трояна в вышеупомянутую библиотеку было реализовано на уровне исходного кода, исследователи полагают, что к распространению малвари причастны либо инсайдеры, либо недобросовестные партнеры производителей устройств, которые участвовали в создании прошивок. Основной задачей Android.Triada.231 является незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты малвари. Для их запуска троян проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троян. Если каталог успешно обнаружен, малварь ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционных систем, соответственно). Обнаружив файл, троян расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же нужный объект не найден, проводится поиск файла 36.jmd. Он тоже расшифровывается и сохраняется под именем mms-core.jar, запускается при помощи класса DexClassLoader, после чего созданная копия удаляется с устройства. В результате Android.Triada.231 способен внедрять практически любые троянские модули в процессы любых программ и влиять на их работу. К примеру, операторы малвари могут отдать команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальных данных и информации из банковских приложений, модулей для кибершпионажа, перехвата переписки из клиентов социальных сетей, интернет-мессенджеров и так далее. Также троян способен извлекать из библиотеки libandroid_runtime.so модуль Android.Triada.194.origin. Его основная функция — загрузка дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом. Исследователи отмечают, что удалить троян стандартными методами не получится, придется перепрошивать устройство с нуля, заведомо «чистой» прошивкой.

Отправить ответ

avatar
  Подписаться  
Уведомление о