Die Schädlingsversionen können nach der Installation laufende Prozesse von Android modifizieren. Zu den negativen Auswirkungen der Triada-Infektionen gehört das Abfangen von In-App-Kaufprozessen per SMS. Endgeräte mit Android 4.4.4 und früher sind besonders gefährdet.
Hinter der Entwicklung von Triada sollen laut Kaspersky Lab die Autoren der mobilen Trojaner-Familien Ztorg, Gorpo und Leech stecken. Alles Trojaner-Familien, die in der Lage sind, sich Zugriffsrechte für Verwaltungsaufgaben auf Android-Geräten (Superuser) zu verschaffen und so unbemerkt vom Nutzer Apps auf einem infizierten Gerät zu installieren.
Wie funktioniert Triada?
Wird ein Gerät mit Ztorg, Gorpo oder Leech infiziert, können infizierte Geräte durch die bereits erlangten Administratorrechte den Triada-Downloader herunterladen und nachinstallieren. Dieser wiederum agiert als Startplattform und ist in der Lage, weitere Module der Triada-Schadsoftware nach zu installieren und entsprechende Funktionen nachzurüsten. Das Downloader-Programm und die von ihm geladenen Programme gehören unterschiedlichen Trojaner-Arten an, allerdings wurden sie von Kaspersky Lab unter der allgemeinen Bezeichnung Triada in seine Datenbanken aufgenommen.
Dazu kommentiert Christian Funk Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab:
„Die Komplexität von Triada zeigt, dass hier äußerst professionelle Cyberkriminelle am Werk sind, die tiefgehende Kenntnisse über die Android-Plattform besitzen“
Android-Systemprozess Zygote
Ein gemeinsames Merkmal der Schädlingsgruppierung Triada ist die Verwendung von Zygote, einem Android-Systemprozess, über den Anwendungen gestartet werden. Dabei wird auch auf Systembibliothek und Frameworks zugegriffen, die jede auf dem Gerät installierte App benötigt. Dieser Standardprozess dient als Vorlage zur Ausführung aller neu installierten Android-Anwendungen. Wird ein Gerät infiziert, nistet sich ein Triada-Trojaner in diesem Prozess ein und wirkt dann auf alle nachfolgend ausgeführten Apps auf dem Gerät. Dadurch kann sich auch die jeweilige Logik der Anwendungen verändern. Bislang war diese Methode nur als Machbarkeitsstudie bekannt. Nun wurde mit Triada eine Schadsoftware, die den Zygote-Mechanismus nutzt, erstmals tatsächlich von Cyberkriminellen in der Praxis eingesetzt.
Da sich Triada in fast jeden Arbeitsprozess einnistet und die einzelnen Zusatzmodule nur im Hauptspeicher existieren, kann der Trojaner nach seiner Installation mit herkömmlichen Anti-Malware-Lösungen kaum erkannt und entfernt werden. Triada operiert im Verborgenen und zeigt seine schädliche Wirkung weder dem Nutzer noch anderen Anwendungen.
Das Triada-Geschäftsmodell
Triada modifiziert vor allem SMS-Mitteilungen, die von anderen Apps verschickt werden. Werden also zum Beispiel innerhalb einer Anwendung, etwa einem Spiel, via Kurzmitteilung In-App-Käufe getätigt, könnten die hinter Triada steckenden Cyberkriminellen diese SMS so modifizieren, dass das Geld bei ihnen statt bei den Spieleentwicklern ankommt.
Einmal installiert lässt sich die Malware kaum mehr von den Geräten entfernen. Den Anwendern bleibt nur, das Gerät komplett neu zu „rooten“ und die schadhaften Anwendungen manuell zu entfernen. Alternativ muss ein Jailbreak des Android-Systems durchgeführt werden.
Die Schutzlösungen von Kaspersky Lab wie Kaspersky Internet Security for Android identifizieren die Komponenten von Triada als Trojan-Downloader.AndroidOS.Triada.a, Trojan-SMS.AndroidOS.Triada.a, Trojan-Banker.AndroidOS.Triada.a beziehungsweise Backdoor.AndroidOS.Triada.
