کمیته رکن چهارم – تحلیلگران بدافزار در شرکت ضدبدافزار روسی دکتر.وب، تروجان Triada را در ثابتافزار چندین گوشی هوشمند اندرویدی ارزان قیمت، از جمله Leagoo M۵ Plus ،Leagoo M۸ ،Nomu S۱۰ و Nomu S۲۰، کشف کردند. کارشناسان بر این باورند که مهاجمان، زنجیرهی موجود در تعداد کمی از تلفنهای هوشمند از مدلهای فوق را در معرض آلودگی قرار دادهاند.
در تجزیه و تحلیل منتشر شده توسط دکتر.وب میخوانیم: «با تجزیه و تحلیل بدافزار توسط دکتر.وب، یک برنامهی مخرب که برای ثابتافزار چندین گوشی هوشمند اندرویدی در حال اجرا، ساخته شده است، شناسایی شد. این تروجان که Android.Triada.۲۳۱ نام دارد و در یکی از کتابخانههای سامانه، تعبیه شده است. این بدافزار میتواند به عملیات تمام برنامههای در حال اجرا نفوذ کرده و بهصورت مخفیانه ماژولهای اضافی را بارگیری و اجرا کند.»
تروجان Triada در عملیات هستهای سامانه عامل اندرویدی Zygote، جزء مورد استفاده برای راهاندازی برنامهها در دستگاههای تلفن همراه، یافت شد. در ادامهی تحلیل آمده است: «با آلوده شدن Zygote، تروجانها در عملیات تمام برنامههای در حال اجرا، امتیازاتی به دست آورده و بهعنوان بخشی از برنامههای کاربردی عمل میکنند. سپس، بهصورت مخفیانه ماژولهای مخرب را بارگیری و راهاندازی میکنند.»
تروجان Triada برای اولین بار در مارس ۲۰۱۶ میلادی توسط محققان آزمایشگاه کسپرسکی کشف شد که در آن زمان بهعنوان پیشرفتهترین تهدید تلفن همراه شناخته شده بود. طیف وسیعی از روشهای استفادهشده توسط مهاجمان برای به خطر انداختن دستگاههای تلفن همراه، در هیچ بدافزار تلفن همراه شناخته شدهی دیگر اجرا نشد. Triada با هدف خاصی برای اجرای کلاهبرداریهای مالی طراحی شده است، که معمولا معاملات مالی پیامکی را به سرقت برده است. جالبترین ویژگی تروجان Triada از نظر معماری ماژولار آن است که به لحاظ نظری طیف وسیعی از تواناییها را ارائه میدهد.
هنگامیکه بدافزار در ابتدا شروع به کار کرد، برخی از پارامترها را تنظیم میکند، یک فهرست راهنمای کاری ایجاد کرده و محیطی را که در حال اجرا است، بررسی میکند. اگر بدافزار در محیط Dalvik در حال اجرا باشد، یکی از روشهای سامانه را برای پیگیری شروع تمام برنامهها و انجام فعالیتهای مخرب بلافاصله پس از شروع به کار به دام میاندازد.
همچنین در این تحلیل آمده است: «عملکرد اصلی Android.Triada.۲۳۱ این است که بهطور مخفیانه ماژولهای مخرب اضافی را که میتوانند سایر اجزای تروجان را بارگیری کنند، اجرا نماید. برای اجرای ماژولهای اضافی، Android.Triada.۲۳۱ بررسی میکند که آیا یک زیرشاخهی خاص در فهرست راهنمای کاری وجود دارد که قبلا توسط تروجان ایجاد شده باشد. نام زیرشاخه باید شامل مقدار MD۵ از نام بستهی نرمافزاری باشد که در فرایند نفوذ تروجان قرار دارد.»
کارشناسان توضیح دادند که تروجان Triada را نمیتوان با استفاده از روشهای استاندارد حذف کرد، زیرا در یکی از کتابخانههای سامانه عامل پنهان است و در بخش سامانه قرار دارد. برای از بین بردن تهدید، لازم است یک سامانه عامل اندروید سالم نصب شود. دکتر.وب به تولیدکنندگان تلفنهای هوشمند آسیب دیده اطلاع داده است.
منبع: news.asis.io
