Modulare Malware „Triada“ übernimmt heimlich Kontrolle über Android-Geräte

Kasperky Lab warnt vor einer neuen Android-Malware namens „Triada“, die sich durch ihren modularen und besonders komplexen Aufbau von anderen Schädlingen unterscheidet. Sie besteht aus einem Downloader-Programm, das verschiedene Trojaner-Arten nachlädt, um im Zusammenspiel nahezu jede Android-App manipulieren zu können.

Wie die Kaspersky-Experten Nikita Buchka und Mikhail Kuzin erklären, wurde Triada „ganz offensichtlich von Cyberkriminellen entwickelt, die sich sehr gut mit der anzugreifenden Plattform auskennen. Das Spektrum an Techniken, die dieser Trojaner einsetzt, ist in keinem anderen der uns bekannten mobilen Schädlinge zu finden. Die eingesetzten Methoden zum Verbergen und zum nachhaltigen Festsetzen im System behindern das Erkennen und Löschen aller Schädlingskomponenten nach ihrer Installation auf dem infizierten Gerät deutlich.“

Ärgerlich aus Sicht der Nutzer und der Antivirenbranche ist, dass den Entwicklern der Triada-Malware eine hohe Professionalität und profunde Kenntnis des Android-Betriebssystems bescheinigt werden muss. Um ihre Schadsoftware einzuschleusen, machen sie sich nämlich den sogenannten Zygote-Prozess zunutze, einen Elternprozess für alle Android-Apps. Er enthält Systembibliotheken und Frameworks, die von nahezu allen Anwendungen verwendet werden.

Hat sich der Trojaner in den Prozess eingeklinkt, kann er in jede gestartete App eindringen und deren Logik und Funktion verändern. „Das eröffnet den Cyberkriminellen ein riesiges Spektrum an Möglichkeiten“, so die Kaspersky-Spezialisten. „Wir sehen eine derartige Technik erstmals in freier Wildbahn. Bisher wurde die Ausnutzung des Zygote-Prozesses nur als Proof-of-Concept umgesetzt.“

Zwar wurde schon 2014 vor Sicherheitslücken im Zygote-Prozess gewarnt, damals wies Trend-Micro-Analyst Veo Zhang allerdings nur darauf hin, dass über die seit 2012 bekannte Schwachstelle CVE-2011-3918, die in Android 4.0.3 und früher steckt, Denial-of-Service-Angriffe möglich sind. Das Gerät nicht nur lahmzulegen, sondern die Kontrolle über sicherheitsrelevante Prozesse zu übernehmen, erfordert offenbar wesentlich weitreichendere Fähigkeiten der Malware-Autoren.

Die modulare Architektur erlaube es den Angreifern, die Funktionalität künftig zu erweitern und zu verändern, erklären die Kaspersky-Experten. „Da der Schädling in alle Programme eindringt, die auf dem Gerät installiert sind, sind die Cyberkriminellen potenziell in der Lage, deren Logik zu modifizieren, um neue Angriffsvektoren auf den Anwender umzusetzen und ihren Gewinn zu maximieren.“

Die Triada-Malware verbreitet sich wie viele andere Schädlinge über ein Werbe-Botnetz. Sie besteht aus einem Downloader (Backdoor.AndroidOS.Triada) und den von ihm nachgeladenen Programmen, die er im Anschluss starten kann. Desweiteren gehören dazu ein Modul, das SMS versenden kann (Trojan-SMS.AndroidOS.Triada.a), und eines, das Anwendungen und vor allem Spiele angreift, die für In-App-Käufe SMS nutzen (Trojan-Banker.AndroidOS.Triada.a). Es fängt die von dort ausgehenden Textnachrichten ab und modifiziert sie.

Hauptziel von Triada ist es somit, via SMS getätigte Finanztransaktionen an sich ungefährlicher Apps, die zum Beispiel das legitime Modul mm.sms.purchasesdk verwenden, zu den Hintermännern umzuleiten. Der Trojaner filtert dafür die eingehenden SMS. Er prüft, von welcher Nummer sie stammen und untersucht den Inhalt. Mitteilungen, die von einer Nummer aus einer ihm bekannten Liste stammen oder bestimmte Schlüsselwörter enthalten, werden dann dem Nutzer und allen installierten Apps vorenthalten.

Nutzer dürften das in der Regel zunächst gar nicht bemerken. Sie stellen lediglich fest, dass bezahlte Inhalte nicht zur Verfügung stehen und machen dafür vermutlich einen Bug in der App verantwortlich. Noch geschickter und unauffälliger ist die ebenfalls beobachtete Variante, dass das Geld zwar an die Online-Betrüger geht, Nutzer den bezahlten Inhalt aber dennoch erhalten. In dem Fall wird also sowohl der Nutzer als auch der Entwickler der Software bestohlen.

Die komplexe Funktionsweise der Triada-Malware im Überblick: Da bei einer Manipulation von Zygote jegliche Unachtsamkeit direkt zum Absturz des Systems führen könnte, führt der Trojaner zunächst einen „Testlauf“ durch, mit dem er die Funktionsfähigkeit der schädlichen Technik auf dem Gerät des Nutzers überprüft (Grafik: Kaspersky Lab).

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de