- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Auswirkungen der Triada-Infektionen


Triada übernimmt heimlich die Kontrolle über Android-Geräte
Kaspersky Lab identifiziert komplexen und modularen Android-Trojaner

(08.04.16) - Kaspersky Lab identifiziert Triada, eine neue, sehr komplex und modular arbeitende Malware, die sich gegen die Android-Plattform richtet. Die Schädlingsversionen von Triada nisten sich im Hauptspeicher eines infizierten Geräts ein und sind daher kaum zu erkennen und zu entfernen. Zudem können sie nach der Installation laufende Prozesse von Android modifizieren (Zygote-Prozess). Zu den negativen Auswirkungen der Triada-Infektionen gehört das Abfangen von In-App-Kaufprozessen per SMS. Endgeräte mit Android 4.4.4 und früher sind besonders gefährdet.

Laut den Experten von Kaspersky Lab waren im vergangenen Jahr elf der 20 am weitesten verbreitetsten Trojaner in der Lage, sich Zugriffsrechte für Verwaltungsaufgaben auf Android-Geräten (Superuser) zu verschaffen und so unbemerkt vom Nutzer Apps auf einem infizierten Gerät zu installieren. Zu dieser Kategorie gehören die mobilen Trojaner-Familien Ztorg, Gorpo und Leech, deren Hintermänner – wie jetzt bekannt wurde – miteinander kooperieren und gemeinsam die Triada Plattform einsetzen.

Wird ein Gerät mit Ztorg, Gorpo oder Leech infiziert, können infizierte Geräte durch die bereits erlangten Administratorrechte den Triada-Downloader herunterladen und nachinstallieren. Dieser wiederum agiert als Startplattform und ist in der Lage, weitere Module der Triada-Schadsoftware nach zu installieren und entsprechende Funktionen nachzurüsten. Das Downloader-Programm und die von ihm geladenen Programme gehören unterschiedlichen Trojaner-Arten an, allerdings wurden sie von Kaspersky Lab unter der allgemeinen Bezeichnung Triada in seine Datenbanken aufgenommen.

Die Komplexität von Triada zeigt, dass hier äußerst professionelle Cyberkriminelle am Werk sind, die tiefgehende Kenntnisse über die Android-Plattform besitzen “, sagt Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab.

Triada nutzt Zygote-Prozess und ist kaum zu entdecken
Ein gemeinsames Merkmal der Schädlingsgruppierung Triada ist die Verwendung von Zygote, einem Android-Systemprozess, über den Anwendungen gestartet werden. Dabei wird auch auf Systembibliothek und Frameworks zugegriffen, die jede auf dem Gerät installierte App benötigt. Dieser Standardprozess dient als Vorlage zur Ausführung aller neu installierten Android-Anwendungen. Wird ein Gerät infiziert, nistet sich ein Triada-Trojaner in diesem Prozess ein und wirkt dann auf alle nachfolgend ausgeführten Apps auf dem Gerät. Dadurch kann sich auch die jeweilige Logik der Anwendungen verändern.

Bislang war diese Methode nur als Machbarkeitsstudie bekannt. Nun wurde mit Triada eine Schadsoftware, die den Zygote-Mechanismus nutzt, erstmals tatsächlich von Cyberkriminellen in der Praxis eingesetzt.

Da sich Triada in fast jeden Arbeitsprozess einnistet und die einzelnen Zusatzmodule nur im Hauptspeicher existieren, kann der Trojaner nach seiner Installation mit herkömmlichen Anti-Malware-Lösungen kaum erkannt und entfernt werden. Triada operiert im Verborgenen und zeigt seine schädliche Wirkung weder dem Nutzer noch anderen Anwendungen.

Das Triada-Geschäftsmodell
Triada modifiziert vor allem SMS-Mitteilungen, die von anderen Apps verschickt werden. Werden also zum Beispiel innerhalb einer Anwendung, etwa einem Spiel, via Kurzmitteilung In-App-Käufe getätigt, könnten die hinter Triada steckenden Cyberkriminellen diese SMS so modifizieren, dass das Geld bei ihnen statt bei den Spieleentwicklern ankommt.

Einmal installiert lässt sich die Malware kaum mehr von den Geräten entfernen. Den Anwendern bleibt nur, das Gerät komplett neu zu „rooten“ und die schadhaften Anwendungen manuell zu entfernen. Alternativ muss ein Jailbreak des Android-Systems durchgeführt werden.Die Schutzlösungen von Kaspersky Lab wie Kaspersky Internet Security for Android identifizieren die Komponenten von Triada als Trojan-Downloader.AndroidOS.Triada.a, Trojan-SMS.AndroidOS.Triada.a, Trojan-Banker.AndroidOS.Triada.a beziehungsweise Backdoor.AndroidOS.Triada. (Kaspersky Lab: ra)

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Tricks der Cyberkriminellen

    Vom derzeitigen Bitcoin- und Blockchain-Hype scheinen auch Cyberkriminelle zu profitieren. So schätzt Kaspersky Lab, dass Cyberkriminelle im vergangenen Jahr mittels neuer und bewährter Social-Engineering-Methoden mehr als 21.000 ETH (Ether) beziehungsweise zehn Millionen US-Dollar erbeuten konnten. Eine Analyse der über die Kaspersky-Produkte gemessenen Bedrohungen bestätigt den Trend: mehr als hunderttausend Alarme wurden im Zusammenhang mit Kryptowährungen ausgelöst. Derzeit haben es die Cyberkriminellen verstärkt auf Investoren im Krypto-Startup-Bereich abgesehen; sie missbrauchen namhafte Kryptowährungsprojekte und Twitter-Konten prominenter Personen für ihre Betrügereien.

  • Neue Klasse von SSDP-Missbrauch aufgedeckt

    Netscout Arbor, Sicherheitsspezialistin für DDoS-Abwehr-Lösungen, hat eine neue Klasse von SSDP-Missbrauch aufgedeckt, bei dem Geräte auf SSDP-Reflexions-/Verstärkungsangriffe mit einem nicht standardisierten Port reagieren. SSDP (Simple Service Discovery Protocol) ist ein Netzwerkprotokoll, das zur Suche nach Universal-Plug-and-Play-Geräten (UPnP) in Windows-Netzwerken dient. Offen aus dem Internet erreichbare SSDP-Server können für DDoS-Reflexionsangriffe gegen IT-Systeme von Unternehmen und Organisationen missbraucht werden. Die daraus resultierende Flut von UDP-Paketen hat kurzlebige Quell- und Zielports, sodass die Eindämmung erschwert wird. Dieses Verhalten scheint auf eine breite Wiederverwendung in CPE-Geräten, wie Telefone, Faxe und Modems, der Open-Source-Bibliothek libupnp zurückzuführen zu sein. Erkenntnise aus früheren DDoS-Vorfällen deuten darauf hin, dass sich Angreifer dieses Verhaltens bewusst sind und sich aufgrund der Wirksamkeit ihres Angriffs gezielt anfällige Geräte suchen und diese auszunutzen können.

  • Phishing ist Big Business

    Sophos hat den Aufstieg von Phishing-Angriffen im letzten Jahr untersucht. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-Emails aus. Die Angreifer haben die Vorteile von Malware-as-a-Service (MaaS) entdeckt - ein Cousin von Ransomware-as-a-Service (RaaS), beide wohnhaft im Dark Web - um die Effizienz und das Volumen von Attacken zu steigern. Lieblings-Ziel: die Mitarbeiter. In der Simulations- und Trainings-Umgebung "Sophos Phish Threat" werden Nutzer darin geschult, wie sie Phishing-Emails erkennen können. Die gesammelten Erkenntnisse liegen nun in einem White Paper vor. Daraus geht hervor, dass die beste Verteidigung gegen Phishing-Attacken eine duale Strategie ist.

  • Android-Wurm ADB.Miner nutzt Schwachstelle aus

    Tausende von Smartphones weltweit sind von einem Android-Wurm betroffen. Schuld daran ist eine Sicherheitslücke durch eine vergessene Debug-Schnittstelle. G Data klärt über die Gefahr auf und zeigt, wie Benutzer überprüfen können, ob ihr Mobilgerät ebenfalls davon betroffen ist und falls ja, wie die Sicherheitslücke geschlossen werden kann. Ein unbekannter Dritter greift via Internet auf das eigene Smartphone zu - und das mit vollen Root-Rechten als Administrator. Was sich wie ein komplizierter und denkbar unmöglicher Fall liest, wird durch eine Android-Sicherheitslücke zum einfachen Spiel für Cyberangreifer. Dieser kann sich dank des geöffneten TCP-Port 5555 per Androids Debug Bridge-Schnittstelle (kurz: ADB) auf das Gerät einklinken. Über ADB lassen sich eine Vielzahl von Geräte-Aktionen durchführen - angefangen vom simplen Auslesen der Geräteinformationen, über den Diebstahl sensibler Daten, bis hin zu sicherheitskritischen Installationen von schädlichen Programmen.

  • Käufer können eigene Bot-Shops aufsetzen

    Netscout Arbor, Sicherheitsspezialist für DDoS-Abwehr-Lösungen, warnt vor dem Malware-Downloader Kardon Loader. Dieser ermöglicht den Download und die Installation anderer Malware wie etwa Banktrojaner, Ransomware oder Trojaner zum Daten- und Identitätsdiebstahl. Downloader sind ein wesentlicher Teil des Malware-Ökosystems. Sie werden oft von spezialisierten Hackern entwickelt und unabhängig vom jeweiligen Trojaner vertrieben. Kardon Loader wird seit Ende April vom Nutzer "Yattaze" ab 50 US-Dollar in Untergrund- und Hacker-Foren als kostenpflichtiges Open-Beta-Produkt beworben. Kardon Loader soll zudem Bot-Store-Funktionalitäten bieten. So können Käufer eigene Bot-Shops aufsetzen. Es ist davon auszugehen, dass die Malware ein Rebranding des ZeroCool-Botnets ist, das vom gleichen Akteur entwickelt wurde.