神刀安全网

卡巴斯基发现迄今为止最具威胁性的安卓木马Triada

卡巴斯基发现迄今为止最具威胁性的安卓木马Triada

卡巴斯基实验室专家检测出一种名为Triada的最新安卓木马,是至今检测出的最具有威胁性的移动木马病毒。

Triada:专业从事金融诈骗

卡巴斯基实验室恶意软件研究人员近日发现一种主要针对安卓设备的新型木马病毒——Triada,研究人员认为该病毒是迄今为止最具威胁性的、最先进的移动威胁病毒。该病毒用于攻击移动设备的技术在其他移动恶意软件中并未出现过。

Triada病毒的设计目的主要是用于金融诈骗,通常是通过劫持金融交易短信来实现。Triada最有趣的特征在于它与众不同的模块化架构,理论上,这也使得该病毒的能力变得更加强大。

卡巴斯基研究员Nikita Buchka 和Mikhail Kuzin解释道:

“Triada Trojan病毒能够渗透入运行在移动设备上的所有程序。”

根据研究人员发布在 博客 中的文章所言:

“该木马最显著的特点是使用Zygote进程,一旦进入系统,就会成为该应用进程的一部分,并可以在设备上启动的任何应用中预先进行安装,甚至改变应用的运行逻辑。当用户在应用内通过短信购买安卓游戏时,黑客可以利用Triada木马修改发送的短信,非法获取用户的支付费用。该木马采取了隐身技术,通过用户从不受信任渠道下载和安装的应用进行传播,但也可能会出现在Google Play应用商店,运行4.4.4以及更早版本安卓系统的设备感染风险最大。”

基于Zygote的攻击

Triada Trojan病毒使用Zygote进程在所有设备软件上执行代码,这也意味着该威胁能够在每个应用程序中运行。

研究人员表示:

“该恶意应用程序最显著的特点是使用Zygote进程来执行所有设备应用程序的代码。Zygote进程是所有安卓应用程序的上层处理程序,它包含所有应用程序所使用的系统库和框架。该程序是所有新程序的模板,也就意味着一旦Triada Trojan病毒进入程序,就会成为应用进程的一部分,在设备上运行。这是我们第一次在实际操作中遇到这种情况,以前Zygote只存在于概念之中。”

卡巴斯基发现迄今为止最具威胁性的安卓木马Triada

该木马很难被检测到,因为其主要运行于RAM并且可以利用ROOT权限替换系统文件,它还能够从运行/安装的服务和应用程序列表中隐藏痕迹。

以下为Triada Trojan病毒的特征:

具备灵活行使超级用户特权的模块化功能;

大部分的恶意功能只存在于RAM设备中;

Trojan在存储器中修改Zygote系统程序以实现持久性;

该病毒发展过程中使用了industrial方法,说明其开发者具备很高的素质和技能。

针对该恶意软件,研究人员表示:要从被感染设备中卸载这种恶意软件几乎不可能,用户只有两种办法清除感染:第一种是对设备进行“root”设置之后手动删除恶意应用。第二种方法是对设备的安卓系统进行越狱。

*参考链接: securityaffairssecurelist ,米雪儿编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 卡巴斯基发现迄今为止最具威胁性的安卓木马Triada

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮