Эксперты «Лаборатории Касперского» в марте текущего года сообщили о мобильной троянской программе Triada, атакующей устройства на базе Android. По словам специалистов, эта программа – одна из наиболее технически сложных разновидностей вредоносного ПО. Теперь эксперты «Лаборатории Касперского» утверждают, что в программу Triada был внедрен новый опасный модуль.
Triada является первой троянской программой, которая начала успешно атаковать процесс Zygote. В данном процессе содержатся системные библиотеки и фреймворки, применяемые почти всеми программами. После того, как атака была успешно проведена, троянская программа может проникать во все приложения, имеющиеся на инфицированном устройстве, и менять логику их работы.
Кроме того, Triada имеет модульную структуру: загрузчик производит установку на целевое устройство различных модулей вредоносной программы, обладающих тем функционалом, который необходим операторам в тот или иной момент времени.
Экспертами «Лаборатории Касперского» был проведен подробный анализ одного из модулей Triada, зафиксированного в марте 2016 года. Целями модуля Backdoor.AndroidOS.Triada.p/o/q являются процессы стандартного Android-браузера, а также 360 Browser, Cheetah и Oupeng.
Модуль внедряет в данные процессы вредоносные DLL-файлы, которые автоматически реагируют при получении браузером новой ссылки. Троянская программа осуществляет передачу данных на командный сервер хакеров, где новая ссылка проходит проверку. Если необходимо, то первоначальный URL заменяется на другой. Иными словами, происходит перенаправление пользователя на веб-страницу, принадлежащую злоумышленникам.
Эксперты сообщают, что в большинстве случаев хакеры пользовались данной схемой для того, чтобы доставлять рекламу, чаще всего просто внося изменения в домашнюю страницу браузера пользователя. Таким образом, вопреки своему вредоносному потенциалу, модуль использовался как обычная adware-программа. Также сообщается, что создатели Triada, вероятно, прекратили разработку данного модуля и больше его не используют.