Android triada 231


Вирус Android.Triada.231: список зараженных на производстве моделей смартфонов

Виталий | Обновлена 2019-07-02 | Смартфоны |

Два года назад в Интернете начала распространяться информация о том, что компанией «Доктор Веб» был выявлен новый вирус Android.Triada.231. Перечень поврежденных устройств увеличивается активными темпами, и сейчас их насчитывается более сорока наименований. Специалисты тщательно отслеживают развитие троянца, и регулярно публикуют результаты своих наблюдений.

Что это за вирус Android.Triada.231 и чем он опасен

Android.Triada.231 – это один из очень коварных вирусов,  которые заражают важный компонент операционной системы Андроид, называющийся Zygote. Именно он задействован в процессе запуска всех программ.

После того как вирус добирается к Zygote, начинается его внедрение во все работающие программы устройства, таким образом, троянец может совершать любые вредоносные действия с приложениями без ведома пользователя.

Например, он способен самостоятельно скачивать программы и запускать их.

Главной особенностью является то, что заражение помещается в системную библиотеку смартфона на уровне исходного кода, а это значит, что его нельзя обнаружить как отдельную программу. Из-за такой разработки злоумышленников приложение с вирусом попадает в прошивку инфицированных устройств еще во время производства, а это значит, что можно купить совершенно новый гаджет, а он уже будет заражен.

Признаки заражения

После внедрения в модуль Zygote вирус распространяется в работающие приложения и получает доступ к ним, а. соответственно, и к выполнению различных функций без участия владельца смартфона. Поэтому, если пользователь заметит, что в устройстве появились новые программы, которые он не скачивал, или ни с того ни с сего всплывающую рекламу – это верный признак того, что гаджет заражен.

Как происходит заражение телефонов на производстве

В статье уже было сказано, что многие устройства подвергаются заражению вирусом еще на этапе производства. Дело в том, что существует множество инженеров, которые идут на нарушение ради денег. Речь идет о тех специалистах, которые отвечают за организацию прошивки в процессе сборки. Также существуют целые компании, которые занимаются производством гаджетов с этим троянцем. Такие действия помогают получить дополнительные денежные средства, так как авторы Триады.231 делятся прибылью.

Список смартфонов с вирусом

На сегодняшний день насчитывается 42 модели смартфонов с наличием троянца и самое страшное, что это число растет. Уведомление о существовании и распространении Триады. 231 было сделано уже давно компанией «Доктор Веб», но несмотря на это, процесс заражения не остановили, и он начал попадать даже в новые модели гаджетов, например, в Leagoo M9, а анонсирование данной модели произошло всего два года назад. Интересно, что после анализа вредоносной программы в прошивке данной модели было выявлено, что оно подписано тем же сертификатом, что и троян 2016 года – Android.MulDrop.924. В список зараженных смартфонов попали следующие модели:

  • молодой бренд Leagoo, продукты которого начали выходить на рынок лишь 5 лет назад;
  • бюджетный гаджет ARK Benefit M8;
  • Zopo Speed 7 Plus, китайский гаджет, которым пользуются в 135 странах (если верить официальному сайту компании);
  • UHANS A101, достаточно популярный в России, Испании и Хорватии;
  • Doogee, ранее испанский, а теперь китайский бренд;
  • Tecno W2, данный производитель входит ТОП 10 крупнейших создателей смартфонов;
  • суббренд Doogee – Homtom HT16;
  • бюджетные устройства Vertex Impress: InTouch 4G/Genius;
  • myPhone Hammer Energy;
  • дочернее предприятие компании Yokohama Rubber Co – Advan.

Также, в этот список вошли модели таких компаний: Umi London, Kiano Elegance, iLife Fivo Lite, Mito A39, STF, Tesla SP6.2, Cubot Rainbow, EXTREME 7, Haier, Cherry Mobile Flare, NOA, Pelitt T1 PLUS, Prestigio Grace, BQ.

Следует заметить, что этот список не является окончательным, а указаны лишь те модели, на которых удалось выявить троянца. Поэтому на самом деле перечень может оказаться гораздо большим. Специалисты отмечают, что зараженные гаджеты распространились по территории многих стран, в частности и в России.

Чтобы обезопасить свое устройство, нужно регулярно проверять его на вирусы. Если оказалось, что смартфон инфицирован, то рекомендуется установить все обновления для новых прошивок и запустить сканирование системы на наличие заражений, чтобы убедиться в устранении Android.Triada.231 и других троянцев. Никто не застрахован от подобных ситуаций, главное – вовремя заметить проблему и устранить ее.

На нашем Портале графики вы узнаете все о Photoshop и обо всем, что связано с дизайном. Все уроки имеют подробное описание и скриншоты, поэтому будут особенно полезны для начинающих дизайнеров. Вы познакомитесь и с другими программами графики и работой в них. Например, Gimp - отличный бесплатный редактор, в котором вы можете проводить полноценную обработку фото. Наша коллекция дополнений сделает вашу работу более легкой и приятной. Вы можете стать нашим соавтором и заработать. Добавляйте новости на сайт через удобную форму обратной связи, размещать дополнения фотошоп со ссылкой на файлообменники. Если вам понравились наш сайт, то не забудьте подписаться на рассылку или rss, поделиться с друзьями в социальных сетях или добавить в закладки!

vgrafike.ru

Список смартфонов, зараженных трояном Android.Triada.231

В середине 2017 года специалисты компании «Доктор Веб» сообщили о выявлении нового троянца Android.Triada.231 в прошивках нескольких бюджетных моделей Android-смартфонов.

К моменту обнаружения вредоносной программы перечень моделей зараженных устройств насчитывал более 40 наименований, и он постоянно пополняется. Среди зараженных смартфонов – модели Leagoo, Zopo, Doogee, HomTom, Umi, Cubot, NOA, iLife и еще нескольких брендов (в конце статьи вы найдете полный список на сегодняшний день).

Что делает Android.Triada.231?

Как и прочие вирусы семейства Android.Triada, новый зловред заражает процесс важного системного компонента ОС Android под названием Zygote, который участвует в запуске всех программ. После внедрения в этот модуль троянцы проникают в процессы остальных работающих приложений и получают возможность выполнять различные вредоносные действия без участия пользователя. Например, незаметно скачивать и запускать приложения. Или показывать рекламу.

Так что если вы регулярно обнаруживаете у себя в смартфоне приложения, которые не устанавливали, ваш аппарат заражен. 

Как Android.Triada.231 проникает на смартфоны?

Конкретно эта модификация вируса внедряется в прошивки аппаратов на этапе их производства. Вариантов здесь много. От нечистых на руку подкупленных инженеров, отвечающих за «заливку» прошивок в смартфоны на сборочной линии, до полуофициальной политики компаний-производителей, которые осознанно вшивают вирус в программное обеспечение своих смартфонов. Это дает определенный доход: авторы вируса делятся с производителями прибылью от контрактов с компаниями, чьи приложения устанавливаются по указке зловреда.

Компания «Доктор Веб» приводит такой пример. Добавление троянца в прошивку смартфона Leagoo M9 произошло по просьбе партнера Leagoo, компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкцию по внесению стороннего кода в системные библиотеки перед их сборкой (компиляцией). К сожалению, такая сомнительная просьба не вызвала у Leagoo никаких подозрений.

Что делать при обнаружении Android.Triada.231 и ему подобных?

Все зависит от производителя смартфона. Локальные российские марки, заказывающие производство своих смартфонов в Китае, нередко сталкиваются с подобным. Иногда проблему удается решить до поступления аппаратов на прилавки магазинов, иногда – нет. В таком случае чаще всего отечественные бренды или меняют смартфоны по гарантии на такие же, но без вирусов, или бесплатно перешивают их. Ну или хотя бы дают доступ к очищенной прошивке, перекладывая ее установку на плечи пользователя.

С китайцами сложнее. Они продали аппарат на AliExpress – и его дальнейшая судьба их уже не особо интересует. Тем более что некоторые производители из Поднебесной расценивают интеграцию вирусов в прошивки как источник дополнительного дохода. Получается, что избавление от вируса полностью лежит на плечах пользователя. Иногда очищенные от зловредов прошивки выкладываются на форумах энтузиастов, занимающихся «ковырянием» программного обеспечения смартфонов.

«Доктор Веб» говорит, что антивирус Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Triada.231, вылечив зараженный системный компонент. Проблема лишь в том, что среднестатистический пользователь может и не суметь получить эти самые root-права. Не которых аппаратах это можно сделать легко, а с другими можно провозиться полдня и ничего не добиться.

И да, сброс смартфона к заводским настройкам ни к чему не приведет – даже не пытайтесь. После очищения памяти и перезагрузки аппарата вирус останется на месте.

И что, производители не борются с вирусами в прошивках?

Те, кто посерьезнее и поименитее, конечно, борются. Пытаются судиться с фабриками, штрафуют их, устраивают скандалы. Плюс стараются быстро разбираться с такими ситуациями, чтобы не вредить своему имиджу и не терять покупателей. Конторы помельче, как мы уже говорили, или забивают на проблему, или вообще принимают участие в процессе. Фактически они «в доле».

Как не купить смартфон с вирусом?

Универсального совета быть не может. Помнится, тот же «Доктор Веб» в свое время нашел похожий вирус в прошивке смартфона Philips. Модели под этой маркой тоже выпускаются китайцами, но их разработчики за имиджем вроде как следят, поскольку работают под уважаемым европейским брендом.

Так что – никаких гарантий. Ну разве что не стоит покупать откровенный ноунейм на AliExpress. Понятно, что он очень дешевый и при этом функциональный. Но в нагрузку к функциональности можно получить и катастрофический уровень брака, и вирус, и много чего еще.

Неужели подобные вирусы не дают нормально пользоваться смартфоном?

Практика показывает, что некоторые пользователи вообще не замечают появления «левых» приложений и рекламных баннеров в своих смартфонах. Или замечают, но считают это нормальным.

Мы, конечно, не понимаем и не приемлем такого отношения, и все же должны констатировать, что Android.Triada.231 и иже с ним пусть и ухудшают пользовательский опыт, но не парализуют процесс эксплуатации смартфона. Так что… Лучше, конечно, в подобные ситуации не попадать, а если попали – пытаться решить проблему, но и жить с ней, в общем-то, можно.

Какие смартфоны точно заражены

В компании «Доктор Веб» приводят следующий список: 

  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

voen-pravo.ru

Более 40 моделей бюджетных смартфонов оказались заражены вирусами. Кто виноват и что с этим делать?

В середине 2017 года специалисты компании «Доктор Веб» сообщили о выявлении нового троянца Android.Triada.231 в прошивках нескольких бюджетных моделей Android-смартфонов.

К моменту обнаружения вредоносной программы перечень моделей зараженных устройств насчитывал более 40 наименований, и он постоянно пополняется. Среди зараженных смартфонов -  модели Leagoo, Zopo, Doogee, HomTom, Umi, Cubot, NOA, iLife и еще нескольких брендов (в конце статьи вы найдете полный список на сегодняшний день).

Что делает Android.Triada.231?

Как и прочие вирусы семейства Android.Triada, новый зловред заражает процесс важного системного компонента ОС Android под названием Zygote, который участвует в запуске всех программ. После внедрения в этот модуль троянцы проникают в процессы остальных работающих приложений и получают возможность выполнять различные вредоносные действия без участия пользователя. Например, незаметно скачивать и запускать приложения. Или показывать рекламу.

Так что если вы регулярно обнаруживаете у себя в смартфоне приложения, которые не устанавливали, ваш аппарат заражен.

Как Android.Triada.231 проникает на смартфоны?

Конкретно эта модификация вируса внедряется в прошивки аппаратов на этапе их производства. Вариантов здесь много. От нечистых на руку подкупленных инженеров, отвечающих за «заливку» прошивок в смартфоны на сборочной линии, до полуофициальной политики компаний-производителей, которые осознанно вшивают вирус в программное обеспечение своих смартфонов. Это дает определенный доход: авторы вируса делятся с производителями прибылью от контрактов с компаниями, чьи приложения устанавливаются по указке зловреда.

Компания «Доктор Веб» приводит такой пример. Добавление троянца в прошивку смартфона Leagoo M9 (на фото ниже) произошло по просьбе партнера Leagoo, компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкцию по внесению стороннего кода в системные библиотеки перед их сборкой (компиляцией). К сожалению, такая сомнительная просьба не вызвала у Leagoo никаких подозрений.

Что делать при обнаружении Android.Triada.231 и ему подобных?

Все зависит от производителя смартфона. Локальные российские марки, заказывающие производство своих смартфонов в Китае, нередко сталкиваются с подобным. Иногда проблему удается решить до поступления аппаратов на прилавки магазинов, иногда – нет. В таком случае чаще всего отечественные бренды или меняют смартфоны по гарантии на такие же, но без вирусов, или бесплатно перешивают их. Ну или хотя бы дают доступ к очищенной прошивке, перекладывая ее установку на плечи пользователя.

С китайцами сложнее. Они продали аппарат на AliExpress – и его дальнейшая судьба их уже не особо интересует. Тем более что некоторые производители из Поднебесной расценивают интеграцию вирусов в прошивки как источник дополнительного дохода. Получается, что избавление от вируса полностью лежит на плечах пользователя. Иногда очищенные от зловредов прошивки выкладываются на форумах энтузиастов, занимающихся «ковырянием» программного обеспечения смартфонов.

«Доктор Веб» говорит, что антивирус Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Triada.231, вылечив зараженный системный компонент. Проблема лишь в том, что среднестатистический пользователь может и не суметь получить эти самые root-права. Не которых аппаратах это можно сделать легко, а с другими можно провозиться полдня и ничего не добиться.

И да, сброс смартфона к заводским настройкам ни к чему не приведет – даже не пытайтесь. После очищения памяти и перезагрузки аппарата вирус останется на месте.

И что, производители не борются с вирусами в прошивках?

Те, кто посерьезнее и поименитее, конечно, борются. Пытаются судиться с фабриками, штрафуют их, устраивают скандалы. Плюс стараются быстро разбираться с такими ситуациями, чтобы не вредить своему имиджу и не терять покупателей. Конторы помельче, как мы уже говорили, или забивают на проблему, или вообще принимают участие в процессе. Фактически они «в доле».

Как не купить смартфон с вирусом?

Универсального совета быть не может. Помнится, тот же «Доктор Веб» в свое время нашел похожий вирус в прошивке смартфона Philips. Модели под этой маркой тоже выпускаются китайцами, но их разработчики за имиджем вроде как следят, поскольку работают под уважаемым европейским брендом.

Так что – никаких гарантий. Ну разве что не стоит покупать откровенный ноунейм на AliExpress. Понятно, что он очень дешевый и при этом функциональный. Но в нагрузку к функциональности можно получить и катастрофический уровень брака, и вирус, и много чего еще.

Неужели подобные вирусы не дают нормально пользоваться смартфоном?

Практика показывает, что некоторые пользователи вообще не замечают появления «левых» приложений и рекламных баннеров в своих смартфонах. Или замечают, но считают это нормальным.

Мы, конечно, не понимаем и не приемлем такого отношения, и все же должны констатировать, что Android.Triada.231 и иже с ним пусть и ухудшают пользовательский опыт, но не парализуют процесс эксплуатации смартфона. Так что... Лучше, конечно, в подобные ситуации не попадать, а если попали – пытаться решить проблему, но и жить с ней, в общем-то, можно.

Какие смартфоны точно заражены

В компании «Доктор Веб» приводят следующий список: 

Leagoo M5 Leagoo M5 Plus Leagoo M5 Edge Leagoo M8 Leagoo M8 Pro Leagoo Z5C Leagoo T1 Plus Leagoo Z3C Leagoo Z1C Leagoo M9 ARK Benefit M8 Zopo Speed 7 Plus UHANS A101 Doogee X5 Max Doogee X5 Max Pro Doogee Shoot 1 Doogee Shoot 2 Tecno W2 Homtom HT16 Umi London Kiano Elegance 5.1 iLife Fivo Lite Mito A39 Vertex Impress InTouch 4G Vertex Impress Genius myPhone Hammer Energy Advan S5E NXT Advan S4Z Advan i5E STF AERIAL PLUS STF JOY PRO Tesla SP6.2 Cubot Rainbow EXTREME 7 Haier T51 Cherry Mobile Flare S5 Cherry Mobile Flare J2S Cherry Mobile Flare P1 NOA H6 Pelitt T1 PLUS Prestigio Grace M5 LTE

BQ 5510

www.dgl.ru

В китайских смартфонах Nomu и Leagoo найден предустановленный троян - «Хакер»

Рекомендуем почитать:
  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании «Доктор Веб» предупредили, что в прошивку ряда мобильных устройств прямо «из коробки» внедрен троян семейства Android.Triada. Такая малварь встраивается в системный процесс Zygote, который отвечает за старт программ на мобильных устройствах. За счет заражения Zygote вредонос внедряется в процессы всех работающих приложений вообще, получает их полномочия и функционирует с ними как единое целое.

Хотя другие образчики данного семейства, ранее обнаруженные исследователями, пытались получить root-привилегии для выполнения вредоносных операций, троян Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so.

Модифицированная версия библиотеки была обнаружена сразу на нескольких мобильных устройствах. В частности в отчете «Доктор Веб» упомянуты смартфоны Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. «Библиотека libandroid_runtime.so используется всеми приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений», — пишут специалисты компании.

Малварь встроена в libandroid_runtime.so таким образом, что получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск трояна происходит именно через нее.

После инициализации вредонос выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении работает. Если малврь функционирует в среде Dalvik, она перехватывает один из системных методов, что позволяет отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта.

Так как внедрение трояна в вышеупомянутую библиотеку было реализовано на уровне исходного кода, исследователи полагают, что к распространению малвари причастны либо инсайдеры, либо недобросовестные партнеры производителей устройств, которые участвовали в создании прошивок.

Основной задачей Android.Triada.231 является незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты малвари. Для их запуска троян проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троян.

Если каталог успешно обнаружен, малварь ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционных систем, соответственно). Обнаружив файл, троян расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же нужный объект не найден, проводится поиск файла 36.jmd. Он тоже расшифровывается и сохраняется под именем mms-core.jar, запускается при помощи класса DexClassLoader, после чего созданная копия удаляется с устройства.

В результате Android.Triada.231 способен внедрять практически любые троянские модули в процессы любых программ и влиять на их работу. К примеру, операторы малвари могут отдать команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальных данных и информации из банковских приложений, модулей для кибершпионажа, перехвата переписки из клиентов социальных сетей, интернет-мессенджеров и так далее. Также троян способен извлекать из библиотеки libandroid_runtime.so модуль Android.Triada.194.origin. Его основная функция — загрузка дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.

Исследователи отмечают, что удалить троян стандартными методами не получится, придется перепрошивать устройство с нуля, заведомо «чистой» прошивкой.

xakep.ru

Triada: очень страшный троянец для Android

Как обычно передвигаются армии: вперед посылают разведчиков, чтобы те узнали, все ли в порядке, и скорректировали маршрут для основных сил. По крайней мере, примерно так это выглядело до пришествия эпохи кибервойн. Как оказалось, троянцы ведут себя примерно так же.

Существует очень много мелких троянцев для Android, которые получают права суперпользователя и используют их в своих грязных целях. Никита Бучка и Михаил Кузин, вирусные аналитики из «Лаборатории Касперского», могут с ходу назвать 11 семейств таких троянцев. Большинство из них практически безобидны — в основном они специализируются на показе рекламы и скачивании себе подобных. На Securelist есть целая статья, посвященная как раз таким зловредам.

Если продолжать военную аналогию, то эти «невинные» троянцы — как раз и есть разведчики. Как мы уже упоминали, права суперпользователя дают им возможность скачивать и устанавливать другие программы. Именно поэтому стоит одному такому троянцу попасть в систему, как через несколько минут в ней появляются и все остальные. Наши исследователи предположили, что рано или поздно их начнут использовать для доставки «на дом», то есть к вам в телефон, гораздо более опасных зловредов.

Три летних семейства мобильных троянцев, использующих рут-права https://t.co/AbWUfkS69R

— Securelist Russia (@securelist_ru) August 27, 2015

Именно так и произошло. Мелкие троянцы вроде Leech, Ztorg и Gopro теперь скачивают один из самых сложных и хитрых троянов на сегодняшний день. Мы называем его Triada.

Речь идет о модульном троянце, активно использующем root-привилегии для того, чтобы изменять системные файлы. Кроме того, он существует по большей части лишь в оперативной памяти устройства, поэтому его очень сложно засечь.

Темный путь «Триады»

Попав в устройство, эти троянцы первым делом собирают данные о системе: модель устройства, версия ОС, объем SD-карты, список установленных приложений и тому подобное. Затем зловред отправляет собранную информацию на командный сервер. Мы засекли целых 17 таких серверов, расположенных на четырех разных доменах. Как видите, авторы данного ПО вполне знакомы с тем, что такое резервирование.

Получив сообщение от троянца, командный сервер в ответ посылает ему файл с конфигурациями, содержащий персональный ID зараженного устройства и набор настроек: через какие временные промежутки зловред должен будет связываться с сервером, какие модули ему нужно установить и тому подобное. После установки модулей они стираются из памяти устройства и остаются только в оперативной памяти. Так троянец прячет себя.

Есть еще несколько причин, почему «Триаду» так сложно обнаружить и почему она так впечатлила наших исследователей. Во-первых, этот троянец модифицирует процесс Zygote. Это один из базовых процессов в ОС Android, который используется как своего рода основа для любого другого приложения. В результате, как только «Триада» добирается до «Зиготы», хитрый зловред становится частью каждого установленного на устройстве приложения.

Во-вторых, «Триада» также умеет подменять системные функции и использует это для того, чтобы скрывать свои модули из списков запущенных процессов и установленных приложений. Поэтому жертва вообще не замечает, что что-то не так с устройством, и не беспокоится ни о чем.

Это не весь список того, что троянец меняет в системе. Также «Триада» наложила свою лапу на отправляемые SMS и заполучила возможность фильтрации входящих сообщений. Именно таким образом киберпреступники решили монетизировать свою разработку.

Много подробностей о том, как SMS-троянец служит вирусописателям, обходя CAPTCHA и делая другие крутые штуки: http://t.co/AmdIRxQlmK

— Kaspersky Lab (@Kaspersky_ru) March 10, 2015

Некоторые приложения используют SMS вместо Интернета для совершения внутренних покупок. Основное преимущество такого метода — то, что для покупки не нужно подключение к Интернету. Пользователи не видят таких сообщений, так как они обрабатываются не программой для чтения SMS, а собственно приложением, инициирующим перевод, например, очередной условно бесплатной игрой для мобильного.

«Триада» использует этот прием, чтобы выводить деньги со счета пользователя. Троянец модифицирует финансовые сообщения таким образом, чтобы деньги приходили не на счет разработчиков мобильных приложений, а на счет преступников. В результате жертвами «Триады» становятся либо пользователи, не получившие игровую «плюшку», за которую заплатили, либо разработчики мобильных приложений, до которых не дошли деньги (если пользователь все-таки получил свой игровой предмет).

Пока это единственный способ, с помощью которого преступники могут получать прибыль от «Триады», но не забывайте: мы говорим о модульном троянце. Стоит дописать еще пару модулей, отправить команду на их скачивание — и он может научиться делать буквально что угодно: права доступа у него для этого есть.

Коллеги обнаружили банковский троянец Asacub, атакующий пользователей Android-устройств: https://t.co/OzaLCtkBcZ pic.twitter.com/kaZ4bWC2Sm

— Kaspersky Lab (@Kaspersky_ru) January 20, 2016

Как прогнать преступников из своего телефона?

Самое неприятное в истории с «Триадой» то, что от нее с большой вероятностью могут пострадать очень много людей. Согласно нашим данным, во второй половине 2015 года каждый десятый пользователь Android был атакован теми самыми мелкими троянцами, получающими права суперпользователя, которые среди прочего могут устанавливать на устройство «Триаду». Таким образом, жертвами этого троянца уже могут быть миллионы пользователей.

Так как защитить себя от мерзкого проныры? Не так уж сложно.

1. Во-первых, всегда устанавливать последние системные обновления. Мелким зловредам сложно перехватить root-привилегии в устройствах с Android 4.4.4 и выше, так как большое количество уязвимостей в этих версиях ОС было закрыто. Если на вашем телефоне установлена более-менее современная операционная система, вы находитесь в относительной безопасности. Однако наша статистика показывает, что около 60% пользователей Android сидят на Android 4.4.2 и более древних версиях этой ОС. И вот для них шанс заразиться весьма высок.

2. Во-вторых, лучше вообще не испытывать судьбу и не подсчитывать вероятность тех или иных шансов. Надежную защиту вашего устройства обеспечит только хороший антивирус. Известно немало случаев, когда даже в официальных магазинах Google находили троянцев (собственно, мелкие зловреды, скачивающие «Триаду, как раз из таких). Так что рекомендуем вам установить надежное защитное решение.

Kaspersky Internet Security для Android обнаруживает все три модуля, используемых «Триадой», и может защитить ваш счет от загребущих ручек создателей троянца. Только не забывайте, что в бесплатной версии мобильного антивируса сканирование нужно запускать вручную и достаточно регулярно.

Подведем итоги: «Триада» — это еще один весьма наглядный пример неприятной тенденции. Разработчики вредоносного ПО начали воспринимать Android всерьез. Более того, они научились эффективно использовать его уязвимости.

Образцы мобильных троянцев, обнаруженные нами в последнее время, почти такие же сложные и скрытные, как и их Windows-собратья. Единственный способ эффективной борьбы с ними — это не дать им попасть в устройство, поэтому так важно установить хорошее защитное решение.

www.kaspersky.ru

Список смартфонов, зараженных трояном Android.Triada.231

Евгения Король 06.03.2018     1    

«Доктор Веб» опубликовала список всех Android-смартфонов, которые заражены вредоносным вирусом.

Напомним, вредоносное ПО было обнаружено еще в середине 2017 года. Тогда сообщалось, что им заражены всего несколько смартфонов. На данный момент, Android.Triada.231 выявили у более чем 40 устройствах.

Среди зараженных на этапе производства смартфонов есть Leagoo M5, Leagoo M5 Plus, Leagoo M5 Edge, Leagoo M8, Leagoo M8 Pro, Leagoo Z5C, Leagoo T1 Plus, Leagoo Z3C, Leagoo Z1C, Leagoo M9, ARK Benefit M8, Zopo Speed 7 Plus, UHANS A101, Doogee X5 Max, Doogee X5 Max Pro, Doogee Shoot 1, Doogee Shoot 2, Tecno W2, Homtom HT16, Umi London, Kiano Elegance 5.1, iLife Fivo Lite, Mito A39, Vertex Impress InTouch 4G, Vertex Impress Genius, Advan S5E NXT, Advan S4Z, Advan i5E, STF AERIAL PLUS, STF JOY PRO, Tesla SP6.2, Cubot Rainbow, EXTREME 7, Haier T51, Cherry Mobile Flare S5, Cherry Mobile Flare J2S, Cherry Mobile Flare P1, NOA H6, Pelitt T1 PLUS, Prestigio Grace M5 LTE и BQ 5510.

Напомним, Android.Triada.231 встроен в в системную библиотеку libandroid_runtime.so на уровне исходного кода, в результате чего смартфон заражается вирусом еще на этапе производства. Троян способен проникать в работу сторонних приложений и совершать всевозможные действия без ведома владельца устройства.

По данным «Доктор Веб», вирус все равно продолжает появляться на новых устройствах даже несмотря на выявленную проблему и предостережения антивирусных компаний.

(3 оценок, среднее: 5,00 из 5) Загрузка...

androidlime.ru


Смотрите также