Kaspersky: Triada là trojan nguy hiểm nhất trên hệ Android

MrQuậy

Well-Known Member
24/09/2013
178
2.221 bài viết
Kaspersky: Triada là trojan nguy hiểm nhất trên hệ Android
Theo Kaspersky thì Triada là Trojan nguy hiểm nhất trên nền tảng Android hiện nay vì chúng lây nhiễm vào một quy trình cốt lõi của hệ điều hành này là Zygote.

1699957231686.png

Trong tháng vừa rồi, các công ty bảo mật đã liệt kê một bản danh sách trojan Android mới có mức độ nguy hiểm ngang với virus trên máy tính để bàn với những cái tên như Acecard, Xbot, Mazar BOT và Asacub. Tuy nhiên, hãng bảo mật nổi tiếng Kaspersky thì cho rằng nguy hiểm nhất vẫn là một loại trojan có tên là Triada vì nó lây nhiễm trực tiếp vào tiến trình cốt lõi Zygote của Android.

Bên cạnh Trojan Triada, các nhà nghiên cứu của Kaspersky cũng ghi nhận được một xu hướng chung trong cách phát tán phần mềm độc hại trên Android. Trong những tháng qua, những kẻ tấn công lợi dụng chế độ standard mode để phát tán các trojan với mục đích chủ yếu là chiếm được quyền root máy.


1699957744199.png

Một số trojan đơn giản như Leech, Ztorg và GoPro chỉ có một nhiệm vụ khi lọt được vào thiết bị của người dùng là chiếm quyền root máy và tải về các phần mềm độc hại nguy hiểm hơn. Kaspersky cho biết đã gặp những trojan này tải về Asacub, Acekard và gần đây nhất là Triada.

Triada có thể thay thế các file hệ thống và lây nhiễm vào các quá trình cốt lõi của hệ điều hành Android như Zygote.

Trojan mới này được đánh giá nguy hiểm hơn rất nhiều lần so với các phần mềm độc hại trước đây. Nguyên nhân không phải vì nó có nhiều tính năng nguy hiểm mà do nó có thể thâm nhập sâu và kiểm soát các file hệ thống quan trọng của Android. Bằng cách điều khiển và thay đổi Zygote (quá trình điều khiển khi ứng dụng khởi động và dừng lại), phần mềm độc hại này có khả năng kiểm soát mọi thứ xảy ra trên điện thoại.

Nguy hại hơn, Triada còn có khả năng hoạt động ẩn. Ngay sau khi những trojan đơn giản tải về và cài đặt Triada, nó ngay lập tức nhiễm vào quá trình Zygote bằng cách thay thế các file hệ thống và sau đó di chuyển hoạt động của nó đến bộ nhớ RAM của thiết bị, nơi mà các sản phẩm bảo mật không thể quét tới. Sau đó, Triada thu thập dữ liệu về các thiết bị, gửi nó đến một máy chủ C&C (Command & Control Server: máy chủ điều khiển) để tạo ra một hồ sơ riêng cho nạn nhân và gửi ngược lại cho Triada một cái gọi là tập tin "cấu hình".

Tập tin này có chứa thông tin về các thiết lập của Triada cụ thể cho từng thiết bị, các hoạt động độc hại mà nó cần phải thực hiện và các mô-đun đã yêu cầu tải xuống để có thể thực hiện các lệnh của nó.

Do Triada ẩn mình trong RAM nên rất khó bị phát hiện. Tất cả các mô đun của nó cũng được triển khai trong RAM của thiết bị và nếu người dùng khởi động thiết bị của họ, Triada cũng sẽ khởi động cùng quá trình Zygote, nó yêu cầu một tập tin cấu hình mới và cài đặt lại các mô-đun của nó sau mỗi lần khởi động lại.

Bởi vì Zygote điều khiển các chi tiết liên quan đến các quá trình liên tục nên Triada rất khó bị phát hiện và gỡ bỏ bởi người dùng.

Kaspersky cho biết trojan này bị phát hiện đã gửi các tin nhắn SMS để lừa đảo người dùng và tạo ra lợi nhuận cho tác giả của trojan. Họ cũng tiết lộ thêm rằng các bản cập nhật bảo mật mới cho Android từ 4.4.4 trở về sau làm cho các trojan như Leech, Ztorg và GoPro tỏ ra kém hiệu quả hơn trong việc root các thiết bị và tải về Triada.


Theo Vnreview
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Theo nguyên lý hoạt động ở trên thì có thể coi Triada là rootkit chứ không phải là Trojan, bởi vì Triada:

"Nguyên nhân không phải vì nó có nhiều tính năng nguy hiểm mà do nó có thể thâm nhập sâu và kiểm soát các file hệ thống quan trọng của Android. Bằng cách điều khiển và thay đổi Zygote (quá trình điều khiển khi ứng dụng khởi động và dừng lại), phần mềm độc hại này có khả năng kiểm soát mọi thứ xảy ra trên điện thoại."

"Nguy hại hơn, Triada còn có khả năng hoạt động ẩn. Ngay sau khi những trojan đơn giản tải về và cài đặt Triada, nó ngay lập tức nhiễm vào quá trình Zygote bằng cách thay thế các file hệ thống và sau đó di chuyển hoạt động của nó đến bộ nhớ RAM của thiết bị, nơi mà các sản phẩm bảo mật không thể quét tới."

"Do Triada ẩn mình trong RAM nên rất khó bị phát hiện. Tất cả các mô đun của nó cũng được triển khai trong RAM của thiết bị và nếu người dùng khởi động thiết bị của họ, Triada cũng sẽ khởi động cùng quá trình Zygote, nó yêu cầu một tập tin cấu hình mới và cài đặt lại các mô-đun của nó sau mỗi lần khởi động lại."


Các bạn thấy có đúng là kiểu hoạt động của Rootkit không?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: THN
Comment
Bên trên