Vorsicht: Triada übernimmt Android-Geräte

(Bild: Shutterstock/ Blue Island)

Es geht wieder einmal eine Android-Malware um. Triada heißt der Schädling, der besonders gefährlich ist, weil er modular aufgebaut und deshalb leicht modifiziert und von Anti-Viren-Scannern dann nicht mehr erkannt werden kann.

Die Malware Triada, die Kasperky Lab entdeckt hat, besteht aus einem Downloader, das verschiedene Trojaner-Arten nachlädt. Damit lässt sich nach Angaben der Anti-Virus-Forscher praktisch jede Android-App manipulieren.

Wie die Kaspersky-Experten Nikita Buchka und Mikhail Kuzin erklären, wurde Triada „ganz offensichtlich von Cyberkriminellen entwickelt, die sich sehr gut mit der anzugreifenden Plattform auskennen. Das Spektrum an Techniken, die dieser Trojaner einsetzt, ist in keinem anderen der uns bekannten mobilen Schädlinge zu finden. Die eingesetzten Methoden zum Verbergen und zum nachhaltigen Festsetzen im System behindern das Erkennen und Löschen aller Schädlingskomponenten nach ihrer Installation auf dem infizierten Gerät deutlich.“

Ärgerlich aus Sicht der Nutzer und der Antivirenbranche ist, dass den Entwicklern der Triada-Malware eine hohe Professionalität und profunde Kenntnis des Android-Betriebssystems bescheinigt werden muss. Um ihre Schadsoftware einzuschleusen, machen sie sich nämlich den sogenannten Zygote-Prozess zunutze, einen Elternprozess für alle Android-Apps. Er enthält Systembibliotheken und Frameworks, die von nahezu allen Anwendungen verwendet werden.

Hat sich der Trojaner in den Prozess eingeklinkt, kann er in jede gestartete App eindringen und deren Logik und Funktion verändern. „Das eröffnet den Cyberkriminellen ein riesiges Spektrum an Möglichkeiten“, so die Kaspersky-Spezialisten. „Wir sehen eine derartige Technik erstmals in freier Wildbahn. Bisher wurde die Ausnutzung des Zygote-Prozesses nur als Proof-of-Concept umgesetzt.“

Zwar wurde schon 2014 vor Sicherheitslücken im Zygote-Prozess gewarnt, damals wies Trend-Micro-Analyst Veo Zhang allerdings nur darauf hin, dass über die seit 2012 bekannte Schwachstelle CVE-2011-3918, die in Android 4.0.3 und früher steckt, Denial-of-Service-Angriffe möglich sind. Das Gerät nicht nur lahmzulegen, sondern die Kontrolle über sicherheitsrelevante Prozesse zu übernehmen, erfordert offenbar wesentlich weitreichendere Fähigkeiten der Malware-Autoren.

Die modulare Architektur erlaube es den Angreifern, die Funktionalität künftig zu erweitern und zu verändern, erklären die Kaspersky-Experten. „Da der Schädling in alle Programme eindringt, die auf dem Gerät installiert sind, sind die Cyberkriminellen potenziell in der Lage, deren Logik zu modifizieren, um neue Angriffsvektoren auf den Anwender umzusetzen und ihren Gewinn zu maximieren.“

Die Triada-Malware verbreitet sich wie viele andere Schädlinge über ein Werbe-Botnetz. Sie besteht aus einem Downloader (Backdoor.AndroidOS.Triada) und den von ihm nachgeladenen Programmen, die er im Anschluss starten kann. Desweiteren gehören dazu ein Modul, das SMS versenden kann (Trojan-SMS.AndroidOS.Triada.a), und eines, das Anwendungen und vor allem Spiele angreift, die für In-App-Käufe SMS nutzen (Trojan-Banker.AndroidOS.Triada.a). Es fängt die von dort ausgehenden Textnachrichten ab und modifiziert sie.

Hauptziel von Triada ist es somit, via SMS getätigte Finanztransaktionen an sich ungefährlicher Apps, die zum Beispiel das legitime Modul mm.sms.purchasesdk verwenden, zu den Hintermännern umzuleiten. Der Trojaner filtert dafür die eingehenden SMS. Er prüft, von welcher Nummer sie stammen und untersucht den Inhalt. Mitteilungen, die von einer Nummer aus einer ihm bekannten Liste stammen oder bestimmte Schlüsselwörter enthalten, werden dann dem Nutzer und allen installierten Apps vorenthalten.

Nutzer dürften das in der Regel zunächst gar nicht bemerken. Sie stellen lediglich fest, dass bezahlte Inhalte nicht zur Verfügung stehen und machen dafür vermutlich einen Bug in der App verantwortlich. Noch geschickter und unauffälliger ist die ebenfalls beobachtete Variante, dass das Geld zwar an die Online-Betrüger geht, Nutzer den bezahlten Inhalt aber dennoch erhalten. In dem Fall wird also sowohl der Nutzer als auch der Entwickler der Software bestohlen.

Tags :Quellen:Mit Material von Peter Marwan, ITespresso.de
  1. Danke für den Bericht. Nach dem durchlesen fehlten mir aber die Antworten, wie welche Geräte bzw. Android Version es betrifft? Geht es nur die älteren Android Version was an oder auch die aktuellen und neuen, Marshmellow?

    Habe auch nicht verstanden wie es eingeschleust wird, was muss ich dafür herunterladen? Wenn nur aus dem PlayStore Apps geladen werden, kann ich mich dennoch infizieren?

    Und zuletzt, wie prüfe ich ob ich befallen bin? :)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising