Triada：针对安卓系统的”有组织犯罪”

对部队的常规行军方式，我们或多或少都有一些了解：首先派出侦察兵侦查四周环境是否安全。一旦确认安全，大部队则随后到达；至少早在互联网出现之前，各个时代的军队都严格遵守着这一行军方式。但事实证明，不少木马病毒的行为方式与”军队行军”如出一辙。

如今有不少针对安卓系统的”小型”木马病毒能够通过获取访问权限，换句话说—获取根访问权限，然后实施攻击。我们的两名恶意软件分析专家Nikita Buchka和Mikhail Kuzin就能轻松叫出其中11种木马病毒的名字。其中大多数并无实质性危害—但直到最近开始植入海量的广告和下载其它类型恶意软件才发现其危害性。如果你想了解更多这方面的内容—请参阅我们的研究专家们在Securelist网站上发布的这篇专题文章。

用军队做比拟的话— 这些木马病毒都只是”侦察兵”。你可能注意到，它们获取根访问权限后就开始任意下载和安装应用程序—因此一旦成功潜入系统，只短短几分钟就多出了许多其它应用程序。但我们的研究专家们早已预测到：这些”小型”木马病毒的目的肯定是为了下载真正具有攻击性的恶意软件，后者才可能会对受感染设备造成真正危害。

Dangerous trends taking root in #mobile phones https://t.co/DkLD8KhSuk #research pic.twitter.com/wc3NfSSv3Z

— Securelist (@Securelist) August 27, 2015

最近发生的诸多木马病毒活动验证了我们的预测。诸如Leech、Ztorg和Gopro这样的”小型”木马病毒如今纷纷下载同一种高级移动木马病毒—我们称之为”Triada”，被我们恶意软件分析专家们认为是有史以来最高级的一种。

Triada作为一种模块化移动木马病毒，频繁利用根访问权限替代系统文件，且由于大多存在于设备的RAM（随机访问内存）中，因此反病毒软件极难检测到。

Triada的攻击原理

一旦设备不幸下载和安装，Triada木马病毒首先会收集各种系统信息—例如：设备型号、操作系统版本、SD卡空间以及已安装应用程序等等。随后将所有这些信息发送至命令和控制服务器。我们总共检测到了4个域名所在的17台命令和控制服务器，这可能是不法分子对冗余内容都相当熟悉的原因。

命令和控制服务器随后向设备发回配置文件，内容包括：针对设备的个人识别号和一些设置参数—在服务器与设备”通讯”期间，还执行了模块安装等操作。在模块安装完毕后，即被转移到了系统的”短时记忆”并将设备本地存储的遗留文件全部删除，因此很难被反病毒软件发现。

Triada之所以很难检测到以及给我们研究专家们留下如此深刻印象，主要有两个原因。首先，它会修改Zygote进程。Zygote作为安卓操作系统的核心进程，作为各应用程序的模版使用，这意味着一旦Triada成功潜入Zygote进程，就能感染移动设备上启动的每一个应用程序。

其次，它能代替系统功能并从运行进程和已安装应用程序列表中”销声匿迹”。因此系统由于检测不到任何奇怪的进程，因而也没法向用户发出安全警告。

Triada修改的还不单单只是系统功能。我们的安全研究专家们发现，它还能直接编写并发送短信，此外还会对收到的短信进行过滤。这就是不法分子利用木马病毒赚取”不义之财”的方法。

A SMS #Trojan Bypasses #CAPTCHA and Steals Money: https://t.co/9fjQ0PwZuw pic.twitter.com/r5jKqQUc3y

— Kaspersky Lab (@kaspersky) March 18, 2015

有些应用程序支持以短信方式内购—交易数据也通过短信发送。应用开发者之所以选择短信支付而不是通过传统的互联网支付，主要原因是短信支付不需要联网。但受害用户绝不会看到这些短信，因为根本不是由短信应用负责处理，而是受感染的应用程序本身开启的交易—比如一款免费游戏。

由于Triada拥有修改这些短信的功能，因此”内购资金”并未转至应用程序开发商账号，而是落到了恶意软件操作者的口袋里。Triada不仅能从用户那里窃取资金—如果他们未能成功进行内购；还能从应用程序开发商那儿”获利”—一旦用户成功完成支付。

这似乎是网络犯罪分子利用Triada的唯一获利方式，但千万不要忘了其模块化的特性，因为通过命令和控制服务器发出命令就能改变其”结构特性”。

打击手机内的”有组织犯罪”

Triada木马病毒的主要问题是其危害范围极广。就如我们之前所提到的，Triada是”小型”木马病毒利用访问权限下载到受害人设备。据我们的研究专家们估计，在2015年下半年，每10个安卓用户中就有1个或曾或多或少受到这些木马病毒的攻击，因此很有可能目前已有数百万部安卓设备感染了Triada病毒。

Evolution of #Asacub trojan: from small fish to ultimate weapon – https://t.co/lLv0pY4lol #infosec #mobile #banking pic.twitter.com/gAM3zzy7aC

— Kaspersky Lab (@kaspersky) January 20, 2016

那我们到底该如何防范这一”隐形兽”的攻击呢？

1.千万记得常常升级系统。事实证明，这些”小型”木马病毒很难获取安卓4.4.4或以上版本的根访问权，因为在这些版本中修复许多漏洞。因此，如果你将系统升级至4.4.4或以上版本的话，那感染Triada病毒的可能性很小。但据我们的统计，大约60%的安卓用户依然在使用4.4.2或以下版本。

2.无论使用哪个版本的操作系统，最好不要让Triada有任何可乘之机。因此我们建议在您的安卓设备上安装一款反病毒软件。卡巴斯基安全软件安卓版能够检测到所有三种Triada模块，因此能保护自己的资金安全，免于网络犯罪分子利用Triada盗取你的账户资金。还有一点需牢记：免费版本无法自动进行病毒扫描。

总而言之，Triada从另一面反映出了目前的网络威胁趋势：恶意软件开发者们将安卓系统看成了”又一座金矿”（还有一座是Windows系统）。从最近的一系列案例可以看出，这些木马程序不仅复杂且难以防范。因此主动打击这些网络威胁不失为好的方法，因此一款出色的安全解决方案就显得必不可少了。