Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Trojan Triada lây nhiễm tiến trình lõi Zygote trên Android
Trong tháng qua, các chuyên gia đã phát hiện nhiều trojan di động mới phức tạp tương đương với các virus trên máy tính. Các mã độc có thể kể đến như Acecard, Xbot, Mazar BOT và Asacub. Tuy nhiên, theo các chuyên gia Kaspersky, hãng vừa phát hiện trojan Triada nguy hiểm hơn rất nhiều với khả năng lây nhiễm tiến trình lõi Zygote trên thiết bị Android.
Bên cạnh trojan Triada, các chuyên gia cũng lưu ý về xu hướng chung được những kẻ đứng sau mã độc sử dụng. Trong những tháng gần đây, “chiến lược hoạt động” chủ yếu của tin tặc là phát tán trojan ít phức tạp nhằm mục đích chiếm quyền root thiết bị.
Ngoài root, những trojan đơn giản như Leech, Ztorg và Gopro có một nhiệm vụ khác, đó là tải về các mã độc nguy hiểm hơn. Các chuyên gia cho biết từng phát hiện nhiều trojan phát tán Asacub và Acecard, nhưng trong chiến dịch gần đây phát hiện mã độc mới Triada.
Triada có thể thay thế các tập tin hệ thống, lây nhiễm tiến trình Zygote
Trojan mới Triada nguy hiểm hơn nhiều so với các mã độc Android trước đây, không phải do có thêm nhiều tính năng mà hạ tầng module và khả năng của mã độc lây nhiễm tiến trình lõi Zygote trên Android.
Bằng việc thay đổi Zygote – tiến trình Android điều khiển ứng dụng nào và thời điểm nào ứng dụng được khởi động hoặc kết thúc, mã độc có thể kiểm soát mọi thứ đang diễn ra trên điện thoại. Nguy hiểm hơn, Triada được xây dựng để hoạt động lén lút. Ngay khi trojan có chức năng root tải về và cài đặt Triada, mã độc sẽ ngay lập tức lây nhiễm tiến trình Zygote thông qua thay thế các tập tin hệ thống, và sau đó chuyển vào hoạt động trên RAM của thiết bị. Tại đây các sản phẩm an ninh không thể quét tới.
Mã độc sau đó chuyển sang thu thập dữ liệu trên thiết bị, gửi dữ liệu tới máy chủ C&C. Máy chủ này sẽ tạo một profile cho mỗi nạn nhân và gửi tập tin “configuration” trở lại cho Triada. Tập tin được gửi chứa thông tin về các cài đặt của Triada cho mỗi thiết bị, các hoạt động độc hại mà mã độc cần thực hiện, và các modules cần thiết để tải và thực thi các lệnh đó.
Triada ẩn mình trong RAM để tránh bị phát hiện
Toàn bộ các modules cài đặt được triển khai trong RAM của thiết bị. Nếu người dùng khởi động lại, Triada sẽ luôn boot up mỗi khi tiến trình Zygote khởi động, yêu cầu một tập tin config mới, và cài đặt lại modules sau mỗi lần restart.
Do Zygote điều khiển các chi tiết liên quan tới tiến trình đang diễn ra, Triada cũng có thể che dấu các hoạt động độc hại khỏi người dùng và các phần mềm debug.
Trong những trường hợp phát hiện Triada gần đây nhất, trojan được sử dụng để bí mật gửi tin nhắn SMS tới các đầu số tính phí nhằm mục đích lừa người dùng và kiếm lợi nhuận cho tác giả mã độc.
Các chuyên gia cho biết bản cập nhật an ninh hiện tại cho hệ điều hành Android từ phiên bản 4.4.4 có tác dụng hạn chế các trojan như Leech, Ztorg và Gopro trong việc root các thiết bị Android sau đó cài Triada.
Nguồn: Softpedia
Bên cạnh trojan Triada, các chuyên gia cũng lưu ý về xu hướng chung được những kẻ đứng sau mã độc sử dụng. Trong những tháng gần đây, “chiến lược hoạt động” chủ yếu của tin tặc là phát tán trojan ít phức tạp nhằm mục đích chiếm quyền root thiết bị.
Ngoài root, những trojan đơn giản như Leech, Ztorg và Gopro có một nhiệm vụ khác, đó là tải về các mã độc nguy hiểm hơn. Các chuyên gia cho biết từng phát hiện nhiều trojan phát tán Asacub và Acecard, nhưng trong chiến dịch gần đây phát hiện mã độc mới Triada.
Triada có thể thay thế các tập tin hệ thống, lây nhiễm tiến trình Zygote
Trojan mới Triada nguy hiểm hơn nhiều so với các mã độc Android trước đây, không phải do có thêm nhiều tính năng mà hạ tầng module và khả năng của mã độc lây nhiễm tiến trình lõi Zygote trên Android.
Bằng việc thay đổi Zygote – tiến trình Android điều khiển ứng dụng nào và thời điểm nào ứng dụng được khởi động hoặc kết thúc, mã độc có thể kiểm soát mọi thứ đang diễn ra trên điện thoại. Nguy hiểm hơn, Triada được xây dựng để hoạt động lén lút. Ngay khi trojan có chức năng root tải về và cài đặt Triada, mã độc sẽ ngay lập tức lây nhiễm tiến trình Zygote thông qua thay thế các tập tin hệ thống, và sau đó chuyển vào hoạt động trên RAM của thiết bị. Tại đây các sản phẩm an ninh không thể quét tới.
Mã độc sau đó chuyển sang thu thập dữ liệu trên thiết bị, gửi dữ liệu tới máy chủ C&C. Máy chủ này sẽ tạo một profile cho mỗi nạn nhân và gửi tập tin “configuration” trở lại cho Triada. Tập tin được gửi chứa thông tin về các cài đặt của Triada cho mỗi thiết bị, các hoạt động độc hại mà mã độc cần thực hiện, và các modules cần thiết để tải và thực thi các lệnh đó.
Triada ẩn mình trong RAM để tránh bị phát hiện
Toàn bộ các modules cài đặt được triển khai trong RAM của thiết bị. Nếu người dùng khởi động lại, Triada sẽ luôn boot up mỗi khi tiến trình Zygote khởi động, yêu cầu một tập tin config mới, và cài đặt lại modules sau mỗi lần restart.
Do Zygote điều khiển các chi tiết liên quan tới tiến trình đang diễn ra, Triada cũng có thể che dấu các hoạt động độc hại khỏi người dùng và các phần mềm debug.
Trong những trường hợp phát hiện Triada gần đây nhất, trojan được sử dụng để bí mật gửi tin nhắn SMS tới các đầu số tính phí nhằm mục đích lừa người dùng và kiếm lợi nhuận cho tác giả mã độc.
Các chuyên gia cho biết bản cập nhật an ninh hiện tại cho hệ điều hành Android từ phiên bản 4.4.4 có tác dụng hạn chế các trojan như Leech, Ztorg và Gopro trong việc root các thiết bị Android sau đó cài Triada.
Nguồn: Softpedia