Modulare Malware „Triada“ übernimmt heimlich Kontrolle über Android-Geräte

Betroffen sind hauptsächlich Smartphones und Tablets mit Android 4.4.4 oder früher. Da der Trojaner sich im Hauptspeicher einnistet, ist er nur schwer zu erkennen und zu entfernen. Indem er in den Zygote-Prozess eingreift, kann er nahezu alle Android-Apps manipulieren.

Kasperky Lab warnt vor einer neuen Android-Malware namens „Triada“, die sich durch ihren modularen und besonders komplexen Aufbau von anderen Schädlingen unterscheidet. Sie besteht aus einem Downloader-Programm, das verschiedene Trojaner-Arten nachlädt, um im Zusammenspiel nahezu jede Android-App manipulieren zu können.

Wie die Kaspersky-Experten Nikita Buchka und Mikhail Kuzin erklären, wurde Triada „ganz offensichtlich von Cyberkriminellen entwickelt, die sich sehr gut mit der anzugreifenden Plattform auskennen. Das Spektrum an Techniken, die dieser Trojaner einsetzt, ist in keinem anderen der uns bekannten mobilen Schädlinge zu finden. Die eingesetzten Methoden zum Verbergen und zum nachhaltigen Festsetzen im System behindern das Erkennen und Löschen aller Schädlingskomponenten nach ihrer Installation auf dem infizierten Gerät deutlich.“

App-Malware (Bild: Shutterstock)Ärgerlich aus Sicht der Nutzer und der Antivirenbranche ist, dass den Entwicklern der Triada-Malware eine hohe Professionalität und profunde Kenntnis des Android-Betriebssystems bescheinigt werden muss. Um ihre Schadsoftware einzuschleusen, machen sie sich nämlich den sogenannten Zygote-Prozess zunutze, einen Elternprozess für alle Android-Apps. Er enthält Systembibliotheken und Frameworks, die von nahezu allen Anwendungen verwendet werden.

Hat sich der Trojaner in den Prozess eingeklinkt, kann er in jede gestartete App eindringen und deren Logik und Funktion verändern. „Das eröffnet den Cyberkriminellen ein riesiges Spektrum an Möglichkeiten“, so die Kaspersky-Spezialisten. „Wir sehen eine derartige Technik erstmals in freier Wildbahn. Bisher wurde die Ausnutzung des Zygote-Prozesses nur als Proof-of-Concept umgesetzt.“

Zwar wurde schon 2014 vor Sicherheitslücken im Zygote-Prozess gewarnt, damals wies Trend-Micro-Analyst Veo Zhang allerdings nur darauf hin, dass über die seit 2012 bekannte Schwachstelle CVE-2011-3918, die in Android 4.0.3 und früher steckt, Denial-of-Service-Angriffe möglich sind. Das Gerät nicht nur lahmzulegen, sondern die Kontrolle über sicherheitsrelevante Prozesse zu übernehmen, erfordert offenbar wesentlich weitreichendere Fähigkeiten der Malware-Autoren.

Die modulare Architektur erlaube es den Angreifern, die Funktionalität künftig zu erweitern und zu verändern, erklären die Kaspersky-Experten. „Da der Schädling in alle Programme eindringt, die auf dem Gerät installiert sind, sind die Cyberkriminellen potenziell in der Lage, deren Logik zu modifizieren, um neue Angriffsvektoren auf den Anwender umzusetzen und ihren Gewinn zu maximieren.“

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Die Triada-Malware verbreitet sich wie viele andere Schädlinge über ein Werbe-Botnetz. Sie besteht aus einem Downloader (Backdoor.AndroidOS.Triada) und den von ihm nachgeladenen Programmen, die er im Anschluss starten kann. Desweiteren gehören dazu ein Modul, das SMS versenden kann (Trojan-SMS.AndroidOS.Triada.a), und eines, das Anwendungen und vor allem Spiele angreift, die für In-App-Käufe SMS nutzen (Trojan-Banker.AndroidOS.Triada.a). Es fängt die von dort ausgehenden Textnachrichten ab und modifiziert sie.

Hauptziel von Triada ist es somit, via SMS getätigte Finanztransaktionen an sich ungefährlicher Apps, die zum Beispiel das legitime Modul mm.sms.purchasesdk verwenden, zu den Hintermännern umzuleiten. Der Trojaner filtert dafür die eingehenden SMS. Er prüft, von welcher Nummer sie stammen und untersucht den Inhalt. Mitteilungen, die von einer Nummer aus einer ihm bekannten Liste stammen oder bestimmte Schlüsselwörter enthalten, werden dann dem Nutzer und allen installierten Apps vorenthalten.

Nutzer dürften das in der Regel zunächst gar nicht bemerken. Sie stellen lediglich fest, dass bezahlte Inhalte nicht zur Verfügung stehen und machen dafür vermutlich einen Bug in der App verantwortlich. Noch geschickter und unauffälliger ist die ebenfalls beobachtete Variante, dass das Geld zwar an die Online-Betrüger geht, Nutzer den bezahlten Inhalt aber dennoch erhalten. In dem Fall wird also sowohl der Nutzer als auch der Entwickler der Software bestohlen.

Die komplexe Funktionsweise der Triada-Malware im Überblick: Da bei der Manipulation von Zygote jegliche Unachtsamkeit direkt zum Absturz des Systems führen könnte, führt der Trojaner zunächst einen "Testlauf" durch, mit dem er die Funktionsfähigkeit der schädlichen Technik auf dem Gerät des Nutzers überprüft (Grafik: Kaspersky Lab).Die komplexe Funktionsweise der Triada-Malware im Überblick: Da bei einer Manipulation von Zygote jegliche Unachtsamkeit direkt zum Absturz des Systems führen könnte, führt der Trojaner zunächst einen „Testlauf“ durch, mit dem er die Funktionsfähigkeit der schädlichen Technik auf dem Gerät des Nutzers überprüft (Grafik: Kaspersky Lab).

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Kaspersky, Malware, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Modulare Malware „Triada“ übernimmt heimlich Kontrolle über Android-Geräte

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *