Kaspersky Lab identifiziert komplexen und modularen Android-Trojaner

 

Moskau/lngolstadt, 4. März 2016 - Kaspersky Lab identifiziert Triada [1], eine neue, sehr komplex und modular arbeitende Malware, die sich gegen die Android-Plattform richtet. Die Schädlingsversionen von Triada nisten sich im Hauptspeicher eines infizierten Geräts ein und sind daher kaum zu erkennen und zu entfernen. Zudem können sie nach der Installation laufende Prozesse von Android modifizieren (Zygote-Prozess). Zu den negativen Auswirkungen der Triada-Infektionen gehört das Abfangen von In-App-Kaufprozessen per SMS. Endgeräte mit Android 4.4.4 und früher sind besonders gefährdet.

 

Laut den Experten von Kaspersky Lab waren im vergangenen Jahr elf der 20 am weitesten verbreitetsten Trojaner [2] in der Lage, sich Zugriffsrechte für Verwaltungsaufgaben auf Android-Geräten (Superuser) zu verschaffen und so unbemerkt vom Nutzer Apps auf einem infizierten Gerät zu installieren. Zu dieser Kategorie gehören die mobilen Trojaner-Familien Ztorg, Gorpo und Leech, deren Hintermänner - wie jetzt bekannt wurde - miteinander kooperieren und gemeinsam die Triada Plattform einsetzen.

 

Wird ein Gerät mit Ztorg, Gorpo oder Leech infiziert [3], können infizierte Geräte durch die bereits erlangten Administratorrechte den Triada-Downloader herunterladen und nachinstallieren. Dieser wiederum agiert als Startplattform und ist in der Lage, weitere Module der Triada-Schadsoftware nach zu installieren und entsprechende Funktionen nachzurüsten. Das Downloader-Programm und die von ihm geladenen Programme gehören unterschiedlichen Trojaner-Arten an, allerdings wurden sie von Kaspersky Lab unter der allgemeinen Bezeichnung Triada in seine Datenbanken aufgenommen.

 

Die Komplexität von Triada zeigt, dass hier äußerst professionelle Cyberkriminelle am Werk sind, die tiefgehende Kenntnisse über die Android-Plattform besitzen ", sagt Christian Funk, Leiter des deutschen

Forschungs- und Analyseteams bei Kaspersky Lab.

 

Triada nutzt Zygote-Prozess und ist kaum zu entdecken

 

Ein gemeinsames Merkmal der Schädlingsgruppierung Triada ist die Verwendung von Zygote [4], einem Android-Systemprozess, über den Anwendungen gestartet werden. Dabei wird auch auf Systembibliothek und Frameworks zugegriffen, die jede auf dem Gerät installierte App benötigt. Dieser Standardprozess dient als Vorlage zur Ausführung aller neu installierten Android-Anwendungen. Wird ein Gerät infiziert, nistet sich ein Triada-Trojaner in diesem Prozess ein und wirkt dann auf alle nachfolgend ausgeführten Apps auf dem Gerät. Dadurch kann sich auch die jeweilige Logik der Anwendungen verändern.

 

Bislang war diese Methode nur als Machbarkeitsstudie bekannt. Nun wurde mit Triada eine Schadsoftware, die den Zygote-Mechanismus nutzt, erstmals tatsächlich von Cyberkriminellen in der Praxis eingesetzt [5].

 

Da sich Triada in fast jeden Arbeitsprozess einnistet und die einzelnen Zusatzmodule nur im Hauptspeicher existieren, kann der Trojaner nach seiner Installation mit herkömmlichen Anti-Malware-Lösungen kaum erkannt und entfernt werden. Triada operiert im Verborgenen und zeigt seine schädliche Wirkung weder dem Nutzer noch anderen Anwendungen.

 

Das Triada-Geschäftsmodell

 

Triada modifiziert vor allem SMS-Mitteilungen, die von anderen Apps verschickt werden. Werden also zum Beispiel innerhalb einer Anwendung, etwa einem Spiel, via Kurzmitteilung In-App-Käufe getätigt, könnten die hinter Triada steckenden Cyberkriminellen diese SMS so modifizieren, dass das Geld bei ihnen statt bei den Spieleentwicklern ankommt.

 

Einmal installiert lässt sich die Malware kaum mehr von den Geräten entfernen. Den Anwendern bleibt nur, das Gerät komplett neu zu „rooten" und die schadhaften Anwendungen manuell zu entfernen. Alternativ muss ein Jailbreak des Android-Systems durchgeführt werden.

Die Schutzlösungen von Kaspersky Lab wie Kaspersky Internet Security for Android [6] identifizieren die Komponenten von Triada als Trojan-Downloader.AndroidOS.Triada.a, Trojan-SMS.AndroidOS.Triada.a, Trojan-Banker.AndroidOS.Triada.a beziehungsweise Backdoor.AndroidOS.Triada.

 

 

Mehr Informationen zu Triada enthält der Blog der Experten von Kaspersky Lab https://de.securelist.com/analysis/veroffentlichungen/71081/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/

 

 

 

[1] Kaspersky Lab versteht unter Triada mehrere Programme, die unter der allgemeinen Bezeichnung Triada in die Datenbanken aufgenommen wurden.

Dazu gehört der Triada-Downloader sowie alle im Anschluss geladenen Triada-Module / https://de.securelist.com/analysis/veroffentlichungen/71081/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats

[2]

https://de.securelist.com/analysis/kaspersky-security-bulletin/71008/mobile-malware-evolution-2015/

 

[3] Die Schadprogramme verbreiten sich über den Download und die Installation von Apps aus nicht autorisierten Quellen. Gelegentlich findet sich die Schadsoftware aber auch als Spiel oder Unterhaltungssoftware in Google Play getarnt, wird im Zuge gängiger Updates auf ein Gerät eingeschleust oder ist dort bereits vorinstalliert. Geräte mit Android 4.4.4 und älteren Versionen sind hierbei am stärksten gefährdet.

[4] https://anatomyofandroid.com/2013/10/15/zygote/

[5]

http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_Infografik_Triada.png

 

[6] http://www.kaspersky.com/de/android-security

 

 

 

Quelle