Продающиеся в России смартфоны оказались заражены вирусом

Александр Панасенко 27 Июля 2017 - 14:00

...

Продающиеся в России смартфоны оказались заражены вирусом

Вирусные аналитики компании «Доктор Веб» обнаружили вредоносную программу, встроенную в прошивку нескольких мобильных устройств под управлением ОС Android. Троянец, получивший имя Android.Triada.231, внедрен в одну из системных библиотек. Он проникает в процессы всех работающих приложений и способен незаметно скачивать и запускать дополнительные модули.

Троянцы семейства Android.Triada внедряются в системный процесс компонента ОС Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря заражению Zygote они встраиваются в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое. После этого они незаметно скачивают и запускают различные вредоносные модули.

В отличие от других представителей этого семейства, которые для выполнения вредоносных действий пытаются получить root-привилегии, обнаруженный вирусными аналитиками «Доктор Веб» троянец Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Ее модифицированная версия была найдена сразу на нескольких мобильных устройствах, среди которых Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. Библиотека libandroid_runtime.so используется всеми Android-приложениями, поэтому вредоносный код в зараженной системе присутствует в памяти всех запускаемых приложений.

Внедрение Android.Triada.231 в эту библиотеку было выполнено на уровне исходного кода. Можно предположить, что к распространению троянца причастны инсайдеры либо недобросовестные партнеры, которые участвовали в создании прошивок зараженных мобильных устройств.

Android.Triada.231 встроен в libandroid_runtime.so таким образом, что он получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Поскольку служба Zygote начинает работу раньше других программ, первоначальный запуск троянца происходит именно через нее.

После инициализации вредоносная программа выполняет предварительную настройку ряда параметров, создает рабочий каталог и проверяет, в каком окружении она работает. Если троянец функционирует в среде Dalvik, он перехватывает один из системных методов, что позволяет ему отслеживать старт всех приложений и начинать вредоносную деятельность сразу после их старта, пишет drweb.ru.

Основная функция Android.Triada.231 — незаметный запуск дополнительных вредоносных модулей, которые могут загружать другие компоненты троянца. Для их запуска Android.Triada.231 проверяет наличие в созданной им ранее рабочей директории специального подкаталога. Его имя должно содержать значение MD5 имени программного пакета приложения, в процесс которого внедрился троянец. Если Android.Triada.231 находит такой каталог, он ищет в нем файл 32.mmd или 64.mmd (для 32- и 64-битных версий операционной системы соответственно). При наличии такого файла троянец расшифровывает его, сохраняет под именем libcnfgp.so, после чего загружает его в оперативную память с использованием одного из системных методов и удаляет расшифрованный файл с устройства. Если же вредоносная программа не находит нужный объект, она ищет файл 36.jmd. Android.Triada.231 расшифровывает его, сохраняет под именем mms-core.jar, запускает при помощи класса DexClassLoader, после чего также удаляет созданную копию.

В результате Android.Triada.231 способен внедрять самые разнообразные троянские модули в процессы любых программ и влиять на их работу. Например, вирусописатели могут отдать троянцу команду на скачивание и запуск вредоносных плагинов для кражи конфиденциальной информации из банковских приложений, модулей для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Кроме того, Android.Triada.231 может извлекать из библиотеки libandroid_runtime.so троянский модуль Android.Triada.194.origin, который хранится в ней в зашифрованном виде. Его основная функция — загрузка из Интернета дополнительных вредоносных компонентов, а также обеспечение их взаимодействия друг с другом.

Поскольку Android.Triada.231 встроен в одну из библиотек операционной системы и расположен в системном разделе, удаление его стандартными методами невозможно. Единственным надежным и безопасным способом борьбы с этим троянцем является установка заведомо чистой прошивки ОС Android.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Татьяна Никитина 15 Декабря 2025 - 17:21

Соответствие законодательству РФ Общее Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW)Соответствие требованиям регуляторов Лаборатория Касперского

Евгений Касперский: в России повысился уровень зрелости в вопросах ИБ

В ходе интервью основатель «Лаборатории Касперского» рассказал журналистам об изменениях на киберфронте, развитии ИБ-компании в условиях западных санкций, а также поделился ее опытом использования ИИ.

Констатируя рост продаж вендора в России, собеседник «Ведомостей» отметил, что на тренд повлияли повышение степени зрелости компаний в отношении кибербеза (из-за роста числа атак и новых требований по импортозамещению и ИБ), а также значительное расширение портфеля защитных решений Kaspersky.

Характер кибератак, по словам Евгения Касперского, за последние три года заметно изменился. Злоумышленники стали действовать более целенаправленно и профессионально, зачастую занимаясь шпионажем в пользу того или иного государства.

За шпионаж по-прежнему готовы платить и коммерческие структуры — достаточно вспомнить случай с Duqu в 2015 году на переговорах по иранской ядерной программе в Швейцарии и более недавний, операцию «Триангуляция». Участились также случаи киберсаботажа.

Что касается ИИ, в Kaspersky его применяют для автоматизации обработки входящих данных, а с недавних пор — и для детектирования аномалий. Подобные инструменты работают в реальном времени и способны заблокировать подозрительную активность либо предупредить о ней пользователя.

В настоящее время в ИБ-компании ежедневно анализируется около 15 млн потенциально опасных файлов; 99,98% из них обрабатывается автоматически. В этом году умный помощник помогал экспертам выявлять до 500 тыс. угроз за день, в том числе вредоносов, созданных с помощью ИИ.

Последнее время объем продаж «Лаборатории Касперского» в России растет: В 2022 году он увеличился в полтора раза, в 2023-м — более чем на треть, в 2024-м — более чем на четверть (в основном за счет сбыта решений b2b, для бизнеса). По внутренним оценкам, в настоящее время ее продукты используют свыше 90% российских компаний в России.

На потребительский сегмент (b2c) сейчас приходится около трети выручки. Показатель начал падать после введения западных санкций и блокировки продаж антивируса Kaspersky в США; потерю этих рынков удалось компенсировать за счет увеличения продаж в России и Азиатском регионе.

В ответ на вопрос о приоритетах в импортозамещении Касперский заявил, что заменить придется все ИБ-решения, но в первую очередь NGFW. У них уже есть собственное СЗИ этого класса, которое недавно прошло сертификацию ФСТЭК и в ближайшие год-два станет конкурентоспособным.

Инвест-проект KasperskyOS пока не может похвастаться большой отдачей, но уже собрал множество партнеров, в России и за рубежом. Защищенная ОС пока работает на тонком клиенте; в этом году разработчики провели более 100 пилотов.

В дальнейшем планируется расширение спектра устройств с этой ОС. Версия KasperskyOS для мобильных устройств все еще находится на стадии исследовательского проекта; прототип создан, но требует доработки.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »