Bösartige Trojaner mit Superuserrechten sind im Vormarsch

Zum Ende des ersten Quartals entdeckten Sicherheitsprofis einen Trojaner, der den von ihm zu ladenden Trojanern (der Payload) die Rechte eines Superusers zur Verfügung stellte, sowie die Möglichkeit, sich in Systemprozesse einzubauen.

Das entdeckte schädliche Modul besteht aus mehreren Teilen, die von Kaspersky Lab als Backdoor.AndroidOS.Triada.p/o/q detektiert werden. Nachdem es die Rechte eines Superusers erhalten hat, schleust es mit Linux-Standard-Debugging-Methoden seine Bibliothek (Triada.q, die daraufhin Triada.o lädt) in die Prozesse der folgenden Browser ein:

com.android.browser (Standard Androidbrowser)
com.qihoo.browser (Browser von 360 Secure)
com.ijinshan.browser_fast (Cheetah Browser)
com.oupeng.browser (Oupeng Browser)

Die Bibliothek fängt die URL ab, die beim Nutzer geöffnet werden soll, analysiert sie und kann sie bei Bedarf gegen jede beliebige andere austauschen. Die Regeln für die Änderung der URL werden vom C&C-Server in den Arbeitsprozess des Moduls geladen.

In einem nicht infizierten System sendet der Browser über das Internet eine Anfrage mit einer URL-Adresse an einen Webserver und erhält als Antwort eine Seite. Nach einer Infektion mit Triada wird dem Browserprozess eine Bibliothek hinzugefügt, die die URL abfängt. Auf diese Weise landet die Adressanfrage in dieser Bibliothek, wo sie geändert und an einen anderen Webserver gesendet wird. Das hat zur Folge, dass der Browser nicht die Daten erhält, die er angefragt hat, was wiederum bedeutet, dass der Anwender auf einer vollkommen anderen Seite landet.

Quelle: hier

Einen Kommentar schreiben