Malware-Gruppe Triada übernimmt heimlich Kontrolle über Android-Geräte
Die Schadsoftware greift insbesondere Geräte mit Android 4.4.4 und früher an. Sie nistet sich im Hauptspeicher ein und ist daher besonders schwer zu erkennen und zu entfernen. Ein Novum ist, dass Triada in den sogenannten Zygote-Prozess eingreift und der Malware damit vielfältige Möglichkeiten offenstehen, nahezu in alle Android-Apps einzudringen und dort Schaden anzurichten.
Kaspersky Lab hat einen neuen, modular aufgebauten und besonders komplexen Android-Trojaner identifiziert. Das Downloader-Programm und die von ihm geladenen Programme gehören zwar unterschiedlichen Trojaner-Arten an, sie spielen aber zusammen und wurden deshalb von Kaspersky unter der Bezeichnung “Triada” in seine Datenbanken aufgenommen.
Wie die Kaspersky-Experten Nikita Buchka und Mikhail Kuzin erklären, wurde der Trojaner Triada „ganz offensichtlich von Cyberkriminellen entwickelt, die sich sehr gut mit der anzugreifenden Plattform auskennen. Das Spektrum an Techniken, die dieser Trojaner einsetzt, ist in keinem anderen der uns bekannten mobilen Schädlinge zu finden. Die eingesetzten Methoden zum Verbergen und zum nachhaltigen Festsetzen im System behindern das Erkennen und Löschen aller Schädlingskomponenten nach ihrer Installation auf dem infizierten Gerät deutlich.”
Ärgerlich aus Sicht der Nutzer und der Antivirenbranche ist, dass den Entwicklern der Triada-Malware-Gruppe eine hohe Professionalität und profunde Kenntnis des Android-Betriebssystems bescheinigt werden muss. Um ihre Schadsoftware einzuschleusen, machen sie sich nämlich den sogenannten Zygote-Prozesses zunutze, einen Elternprozess für alle Android-Apps. Er enthält Systembibliotheken und Frameworks, die von nahezu allen Apps verwendet werden.
Hat sich der Trojaner in den Prozess eingeklinkt, kann in jede gestartete App eindringen und deren Logik und Funktion verändern. “Das eröffnet den Cyberkriminellen ein riesiges Spektrum an Möglichkeiten”, so die Kaspersky-Spezialisten. “Wir sehen eine derartige Technik erstmals in freier Wildbahn. Bisher wurde die Ausnutzung des Zygote-Prozesses nur als Proof-of-Concept umgesetzt.”
Zwar wurde schon 2014 vor Sicherheitslücken im Zygote-Prozess gewarnt, damals wies Trend-Micro-Analyst Veo Zhang allerdisng nur darauf hin, dass über die seit 2012 bekannte Schwachstelle CVE-2011-3918, die in Android 4.0.3 und früher steckte, Denial-of-Service-Angriffe möglich sind. Das Gerät nicht nur lahmzulegen, sondern die Kontrolle über sicherheitsrelevante Prozesse zu übernehmen, erfordert offenbar wesentlich weitreichender Fähigkeiten der Malware-Autoren.
Die modulare Architektur erlaube es den Angreifern zudem, die Funktionalität künftig zu erweitern und zu verändern. “Da der Schädling in alle Programme eindringt, die auf dem Gerät installiert sind, sind die Cyberkriminellen potenziell in der Lage, deren Logik zu modifizieren, um neue Angriffsvektoren auf den Anwender umzusetzen und ihren Gewinn zu maximieren”, so Buchka und Kuzin weiter.
Die Triada-Malware wird wie inzwischen weit verbreitet über ein Werbe-Botnetz verbreitet. Sie besteht aus einem Downloader-Programm (Backdoor.AndroidOS.Triada) und den von diesem nachgeladenen Programmen. Die kann der Downloader dann auch starten. Desweiteren gehört dazu ein Modul, das SMS versenden kann (Trojan-SMS.AndroidOS.Triada.a) und eines, das Anwendungen angreift, die für In-App-Käufe SMS nutzen, wie das bei vielen Spieln der Fall ist.
Es fängt die von dort ausgehenden Textnachrichten ab (Trojan-Banker.AndroidOS.Triada.a) und modifiziert sie. Hauptziel von Triada ist es somit, via SMS getätigte Finanztransaktionen legitimer Apps, für die zum Beispiel das legitime Modul mm.sms.purchasesdk verwendet wird, zu den Hintermännern umzuleiten. Der Trojaner filtert dafür die eingehenden SMS. Er prüft, von welcher Nummer sie stammen und untersucht den Inhalt. Mitteilungen, die von einer Nummer aus einer ihm bekannten Liste stammen oder bestimmte Schlüsselwörter enthalten, werden dann dem Nutzer und allen installierten App vorenthalten.
Nutzer dürften das in der Regel zunächst gar nicht bemerken. Sie stellen lediglich fest, dass bezahlte Inhalte nicht zur Verfügung stehen und machen dafür vermutlich einen Bug in der Spiele-App verantwortlich. Noch geschickter und unauffälliger ist die ebenfalls beobachtete Variante, dass das Geld zwar an die Online-Betrüger geht, Nutzer den bezahlten Inhalt aber dennoch erhalten. In dem Fall wird also sowohl der Nutzer als auch der Entwickler der Software bestohlen.