Исследователи Kaspersky Lab обнаружили новые версии вредоносного троянца Triada на предзагруженных Android-устройствах, что делает их уязвимыми еще до продажи. Фальшивые модели известных брендов были загружены на различные онлайн-маркеты. Троянцы Triada внедряются в каждое приложение на зараженном устройстве, обладая модульной архитектурой, которая позволяет злоумышленникам контролировать систему и настраивать функциональность для конкретных приложений.
Описание
В новой версии Triada, злоумышленники могут изменять адреса криптовалютных кошельков, подменять ссылки в браузерах, отправлять произвольные текстовые сообщения и крадут данные для входа в приложения для обмена сообщениями и социальные сети. Цепочка заражения Triada начинается с нативной библиотеки binder.so, которая загружается в процесс Zygote через зараженный системный фреймворк Android. Затем троянец внедряет модули в каждый процесс, запущенный на устройстве, позволяя ему скомпрометировать все приложения в системе.
Один из вспомогательных модулей троянца загружает файлы произвольного кода, а другие полезные нагрузки полагаются на существующие модули для выполнения своих вредоносных функций. Дополнительный модуль записывается во внутренний каталог данных приложения и может загружать файлы произвольного кода. Бэкдор mms-core.jar используется для двойного XOR-шифрования и загружается через DexClassLoader. Эта новая итерация бэкдора, известная из предыдущих отчетов, позволяет злоумышленникам получить контроль над зараженным устройством.
Это исследование подтверждает, что хотя новые версии Android имеют ограничения, предустановленные вредоносные программы в системных разделах устройств стали невозможными для удаления. Это создает новую угрозу безопасности, так как троянцы Triada могут быть встроены непосредственно в прошивку устройства, что позволяет им скомпрометировать все приложения на устройстве.
Индикаторы компрометации
IPv4
- 120.79.89.98
- 8.218.194.192
Domains
- 0r23b.uhabq9.com
- 68u91.66foh90o.com
- 773i8h.k6zix6.com
- ad1x7.mea5ms.com
- app-file.b-cdn.net
- bincdi.birxpk.com
- g.sxim.me
- hm1es.uhabq9.com
- is5jg.3zweuj.com
- jmll4.66foh90o.com
- lnwxfq.qz94.com
- lptkw.s4xx6.com
- lvqtcqd.pngkcal.com
- mp2y3.sm20j.xyz
- ompe2.7u6h8.xyz
- qrchq.vrhoeas.com
- tqq6g.66foh90o.com
- v58pq.mpvflv.com
- vg1ne.uhabq9.com
- w0g25.66foh90o.com
- xc06a.0pk05.com
- xcbm4.0pk05.com
- xjl5a.unkdj.xyz
- ya27fw.k6zix6.com
- zqsvl.uhabq9.com
URLs
- https://raw.githubusercontent.com/adrdotocet/ott/main/api.json
- https://raw.githubusercontent.com/adrdotocet2/ott/main/api.json
- https://raw.githubusercontent.com/adrdotocet3/ott/main/api.json
MD5
- 01dff60fbf8cdf98980150eb15617e41
- 04e485833e53aceb259198d1fcba7eaf
- 11aa55cd3556afa80412e512acfbd01d
- 18fef4b6e229fc01c8b9921bb0353bb0
- 195e0f334beb34c471352179d422c42f
- 1d582e2517905b853ec9ebfe77759d15
- 21be50a028a505b1d23955abfd2bdb3e
- 2ac4d8e1077dce6f4d2ba9875b987ca7
- 2ac5414f627f8df2e902fc34a73faf44
- 2e98c16d949022e42956aaa9af908187
- 3dc21967e6fab9518275960933c90d04
- 3f887477091e67c6aaca15bce622f485
- 43adb868af3812b8f0c47e38fb93746a
- 511443977de2d07c3ee0cee3edae8dc8
- 554f0de0bddf30589482315fe336ea72
- 716f0896b22c2fdcb0e3ee56b7c5212f
- 72cbbc58776ddc44abaa557325440bfb
- 7b8905af721158731d24d0d06e6cb27e
- 83dbc4b95f9ae8a83811163b301fe8c7
- 8892c6decebba3e26c57b20af7ad4cca
- 89c3475be8dba92f4ee7de0d981603c1
- 8f0e5f86046faed1d06bca7d3e48c0b8
- 98ece45e75f93c5089411972f9655b97
- 993eb2f8bf8b5c01b30e3044c3bc10a3
- 9dd92503bd21d12ff0f2b9740fb6e529
- a4f16015204db28f5654bb64775d75ad
- a7127978fac175c9a14cd8d894192f78
- a9a106b9df360ec9d28f5dfaf4b1f0b5
- b187551675a234c3584db4aab2cc83a9
- b87706f7fcb21f3a4dfdd2865b2fa733
- b8a745bdc0e083ffc88a524c7f465140
- c30c309e175905ffcbd17adb55009240
- c4efe3733710d251cb041a916a46bc44
- d5bc1298e436424086cb52508fb104b1
- dc731e55a552caed84d04627e96906d5
- e9029811df1dd8acacfe69450b033804
- e961cb0c7d317ace2ff6159efe30276a
- f468a29f836d2bba7a2b1a638c5bebf0
- fb937b1b15fd56c9d8e5bb6b90e0e24a
- fce117a9d7c8c73e5f56bda7437bdb28
