Triada木马新迭代,安卓设备的隐形威胁

admin 2025年6月6日22:02:21评论2 views字数 15805阅读52分41秒阅读模式
Triada木马新迭代,安卓设备的隐形威胁
Triada木马新迭代,安卓设备的隐形威胁
你的安卓设备可能已被Triada木马悄然入侵,全新迭代揭露无限控制权背后的黑暗交易。
Triada木马新迭代,安卓设备的隐形威胁

在数字时代,智能手机已成为我们生活中不可或缺的一部分,但它们同时也是网络安全威胁的温床。最近,一种名为Triada的木马程序通过其狡猾的多阶段加载器,悄无声息地渗透进安卓设备,赋予攻击者几乎无限的控制权。这种木马不仅难以被发现,而且几乎不可能被常规用户移除,因为它深植于设备固件之中。今天,将向大家分享一篇文章[1],深入剖析Triada木马的最新迭代版本,揭示其如何利用安卓系统的漏洞,以及它对用户隐私和财产安全的潜在威胁。我们将探讨这一新型网络威胁的运作机制,以及用户如何保护自己免受其侵害。

Triada木马新迭代,安卓设备的隐形威胁
一、引言
早期安卓版本存在多种漏洞,使得攻击者能够获取设备root权限。大量恶意程序借此提升系统权限并实现持久化驻留,臭名昭著的Triada木马就曾采用此攻击途径。随着时间推移,相关漏洞被逐步修复,系统固件也增加了更多限制——在近年发布的安卓版本中,即使拥有超级用户权限也无法修改系统分区。然而讽刺的是,这种改动反而为攻击者创造了便利:虽然外部恶意软件面临更严格的权限限制,但预装在系统分区内的恶意软件却因此获得了无法移除的特性。攻击者开始将恶意软件植入安卓设备固件,作者之前发现的Dwphon loader[2]就采用了这种运作方式,其被内置于负责OTA更新的系统应用中。

2025年3月,作者在研究中发现Triada木马为突破安卓系统的权限限制采取了新的策略。攻击者直接将复杂的多阶段加载程序植入设备固件,这使得木马能够感染Zygote进程,进而控制设备上运行的每一个应用程序。

主要发现:

  • 在多款设备上发现了Triada木马的新变种,其固件在设备上市前即已遭感染。这些设备仿冒知名手机品牌,研究期间仍能在多家电商平台购买。
  • 木马会侵入受感染设备上启动的每个应用程序。其模块化架构赋予攻击者近乎无限的系统控制权,可针对特定应用程序定制功能。
  • 当前版本的Triada木马中,经分析的有效载荷会根据宿主应用展现不同恶意行为,具体包括:转账时篡改加密货币钱包地址、替换浏览器链接、任意发送短信并拦截回复、窃取即时通讯和社交应用的登录凭证。

完整感染链如下:

Triada木马新迭代,安卓设备的隐形威胁

图注:Triada木马感染链

巴斯基安全产品已将新版Triada木马检测为Backdoor.AndroidOS.Triada.z

Triada木马新迭代,安卓设备的隐形威胁
二、系统框架中的恶意依赖

在初步调查中,作者聚焦于多款设备固件中的原生库文件,其路径为:

  • /system/framework/arm/binder.so
  • /system/framework/arm64/binder.so

该文件在标准安卓版本中并不存在。作者发现,这个可疑的库文件被同一目录下受感染的AOT预编译[3]安卓系统框架(boot-framework.oat)加载到Zygote进程中,而Zygote是所有安卓应用程序的父进程。

Triada木马新迭代,安卓设备的隐形威胁

图注:boot-framework.oat中的恶意依赖

binder.so库为android.util.Log类注册了一个原生方法println_native。该类的功能是让设备上安装的应用程序向Logcat写入日志消息。此方法的实现调用了可疑函数_config_log_println

Triada木马新迭代,安卓设备的隐形威胁

图注:对可疑函数的调用

_config_log_println函数随后调用另外两个函数,将恶意库的rodata区段中存储的三个模块部署到设备上启动的每个进程中。其中一个函数始终运行,另一个函数仅在设备安卓系统版本为9或更早时触发。

Triada木马新迭代,安卓设备的隐形威胁

图注:两个恶意函数的执行流程

接下来让我们来详细分析这些模块的作用。

(一)辅助模块
Triada木马新迭代,安卓设备的隐形威胁
恶意库rodata区段中的该模块会被写入应用程序的内部数据目录,命名为systemlibarm64_%N%.jar,其中N为随机数。
Triada木马新迭代,安卓设备的隐形威胁
图注:辅助模块的加载
该模块注册了一个可加载任意代码文件的接收器,但在后续案例中未观察到其实际触发。作者将其称为辅助模块”,因为其他有效载荷依赖它执行恶意功能。例如,针对该模块中的com.android.core.info.config.JvmCore类,binder.so会注册原生方法用于拦截对恶意软件运行进程中任意方法的调用。
(二)后门模块mms-core.jar
Triada木马新迭代,安卓设备的隐形威胁

该模块需经过双重异或解密流程,解密密钥从恶意库的rodata区段中提取。解密后的模块以/data/data/%PACKAGE%/mms-core.jar形式保存到磁盘,随后通过DexClassLoader加载。加载完成后,包含有效载荷文件将会被删除。

Triada木马新迭代,安卓设备的隐形威胁

图注:后门模块的加载

mms-core.jar是作者早期报告[4]中提到的后门程序的新版本。与旧版本通过篡改系统文件注入Zygote进程不同,当前版本通过受感染的系统框架直接获得稳定的Zygote访问权限。与旧版类似,该后门会下载并执行其他有效载荷。

(三)加密货币窃取程序还是投放器?
Triada木马新迭代,安卓设备的隐形威胁

binder.so库启动时,会立即读取/proc/%PID%/cmdline文件(%PID%为系统进程ID),借此判断当前运行应用程序的包名。

Triada木马新迭代,安卓设备的隐形威胁

图注:包名检查机制

根据包名,binder.so会从rodata区段加载两种负载之一:若目标应用与加密货币相关,则加载加密货币窃取程序的加载器;否则加载通用投放器。这两种有效载荷均未加密。

Triada加密货币窃取程序

在早期分析的Triada版本中,加密货币应用会被直接植入窃取程序。但在最新样本中,恶意模块变更为针对特定包名的加载器,目标包括:

com.binance.devcom.wrx.wazirxcom.coinex.trade.playcom.okinc.okex.gppro.huobicom.kubi.kucoin

该恶意加载器的入口点为com.hwsen.abc.SDK类中的onCreate方法。最新版本中,此模块会从GitHub仓库请求配置。样本通过伪随机数生成器选择数字(0、1或2),每个数字对应特定的仓库地址。

Triada木马新迭代,安卓设备的隐形威胁

图注:加载配置

配置中的所有字段值均使用AES-128(ECB模式)加密,并用Base64编码。以下为解密后的配置示例:

{    addr: {        durl: https://app-file.b-cdn[.]net/poctest/pc2215202501061400.zip,        durl2: https://app-file.b-cdn[.]net/poctest/pc2215202501061400.zip,        durl3: https://app-file.b-cdn[.]net/poctest/pc2215202501061400.zip,        ver: 17,        vname: pc2215202501061400.zip,        online: true,        rom: true,        update: true,        pkg: com.android.system.watchdog.x.Main,        method: onCreate,        param: t    }}

online字段为true,加载器将从durl字段指定的URL下载有效载荷。若下载失败,则依次尝试durl2durl3作为备用链接。下载的有效载荷通过硬编码的XOR密钥解密,并按vname参数命名后保存到应用内部数据目录。pkgmethod字段分别表示负载通过DexClassLoader加载后调用的类名及

方法。

下载的有效载荷通过多种手段窃取加密货币。例如,其会按预设间隔监控当前活动窗口,借此拦加密货币提现操作,将界面中的收款地址替换为攻击者控制的地址。为实现此功能,恶意软件对当前窗口内的图形子元素执行深度优先搜索,识别资金流向的区块链类型,随后将钱包地址替换为硬编码的攻击地址,并将所有按钮的点击处理器替换为代理(确保再次执行地址替换)。值得注意的是,窃取程序还会将图片元素替换为包含攻击地址的二维码

Triada木马新迭代,安卓设备的隐形威胁

图注:文本和图像替换

此外,木马会监控剪贴板内容,若发现加密货币钱包地址,立即替换为攻击者地址。

Triada木马新迭代,安卓设备的隐形威胁

图注:剪贴板劫持

投放器模块

binder.so运行在非加密货币相关应用中,则下载另一类有效载荷——投放器。该模块调用com.system.framework.api.vp2130.services类中的onCreate方法,根据版本不同,最多可从自身内容中提取三个Base64编码的附加模块。

投放器从系统APK安装器应用内的首个模块加载com.android.packageinstaller.apiv21.ApiV21类。此类注册了一个接收器,允许其他模块在设备上安装任意APK或卸载应用。

Triada木马新迭代,安卓设备的隐形威胁

图注:恶意接收器

自Android 13起,非可信来源的应用无法获取敏感权限(如无障碍服务)。为绕过此限制,接收器通过安装会话(installation session)机制安装旁加

载应用。

从第二个模块加载的com.system.framework.audio.Audio类用于阻断网络连接。根据系统架构,其解码并加载原生助手库。该库利用xhook库拦截对getaddrinfoandroid_getaddrinfofornet函数的调用——这两个函数负责与安卓的dnsproxyd服务通信(该服务以客户端-服务器模型处理DNS请求)。若攻击者发送了阻断特定域名的指令,恶意软件通过钩子将域名替换为127.0.0.1,使原域名无法访问。

Triada木马新迭代,安卓设备的隐形威胁

图注:拦截dnsproxyd通信功能

因此,除非反欺诈服务使用自定义DNS实现,否则其请求将被阻断。

从第三个模块加载的com.system.framework.api.init.services类用于下载任意负载。为实现此功能,恶意软件会定期向命令控制服务器发送大量设备信息(MAC地址、型号、CPU、制造商、IMEI、IMSI等)及宿主应用名称与版本。数据在发送前使用AES-128(CBC模式)加密并Base64编码。C2服务器返回的JSON文件中包含有效载荷信息,同样以AES-128(CBC模式)加密。受感染设备从同一JSON中获取RSA加密的密钥与初始化向量(IV)。

Triada木马新迭代,安卓设备的隐形威胁

图注:负载解码、加载与执行流程

为便于描述,下文将此模块称为Triada后门。该模块是研究中的重点,因其赋予恶意软件广泛的能力。深入分析攻击者目标后,我们发现了一个意外变化:早期样本主要展示广告并诱导用户订阅付费服务,而当前攻击者已转向更复杂的恶意行为。

Triada木马新迭代,安卓设备的隐形威胁
三、Triada下载的恶意负载

为明确攻击者目标的变化,作者尝试为各类流行应用下载有效载荷。观察到,当应用名称位于binder.so恶意库的内置列表中时,其启动时会向投放器传递特定标志。该列表包含系统应用及官方商店的热门应用。

Triada木马新迭代,安卓设备的隐形威胁

图注:binder.so中的部分应用列表

这份列表是调查的起点。作者向恶意C2服务器发送列表中所有应用的请求,部分响应返回了有效载荷的下载链接。例如,这是我们在向Telegram请求有效载荷后从该木马收到的响应:

{    a: 0,    b: 40E315FB00M8EP2G49008INIK7000002,    c: 1373225559,    d: [{            a: 72,            b: http://ompe2.7u6h8[.]xyz/tgzip/44a08dc22b45b9418ed427fd24c192c6.zip,            c: com.tgenter.tmain.Engine,            d: start,            e: 32,            f: 44a08dc22b45b9418ed427fd24c192c6,            g: https://mp2y3.sm20j[.]xyz/tgzip/44a08dc22b45b9418ed427fd24c192c6.zip        }, {            a: 127,            b: http://ompe2.7u6h8[.]xyz/tgzip/tgnetuser/online/37fd87f46e95f431b1977d8c5741d2d5.zip,            c: com.androidx.tlttl.tg.CkUtils,            d: init,            e: 7,            f: 37fd87f46e95f431b1977d8c5741d2d5,            g: https://mp2y3.sm20j[.]xyz/tgzip/tgnetuser/online/37fd87f46e95f431b1977d8c5741d2d5.zip        }    ],    e: 245,    g: [com.instagram.android],    h: org.telegram.messenger.web,org.telegram.messenger,com.whatsapp.w4b,com.fmwhatsapp,com.gbwhatsapp,com.yowhatsapp,com.facebook.lite,com.facebook.orca,com.facebook.mlite,com.skype.raider,com.zhiliaoapp.musically,com.obwhatsapp,com.ob3whatsapp,com.ob2whatsapp,com.jtwhatsapp,com.linkedin.android,com.zhiliaoapp.musically.go,com.opera.browser.afin,com.heytap.browser,com.sec.android.app.sbrowser,org.mozilla.firefox,com.microsoft.emmx,com.microsoft.emmx.canary,com.opera.browser}

C2返回的有效载荷信息以对象数组形式呈现,每个对象包含两个下载URL(主URL和备份URL)、待下载文件的MD5哈希值、模块入口点详细信息及其ID。下载完成后,使用不同的密钥对模块进行双重异或解密。

Triada木马新迭代,安卓设备的隐形威胁

图注:Triada解密负载流程

除此之外,C2的响应还包含其他软件包名称。利用这些名称,我们能够获取各种其他有效载荷。

需特别指出的是,根据安卓安全模型,普通用户权限通常无法访问特定应用数据。然而如前所述,由于恶意软件由Zygote进程加载,每个有效载荷模块运行于目标应用进程内,因此可绕过系统限制。这意味着模块能获取任意应用数据,攻击者在后续感染阶段积极利用此特性。此外,每个新增的恶意负载均可继承宿主应用的所有权限。

在模块分析过程中,作者还注意到Triada开发者展现出高超的技术能力:每个有效载荷均针对目标应用特性定制。下文将解析木马注入部分热门安卓应用的模块细节。

(一)Telegram模块
Triada木马新迭代,安卓设备的隐形威胁
在本研究期间,Triada后门为即时通讯应用Telegram下载了两个模块。首个模块(b8a745bdc0e083ffc88a524c7f465140)每24小时在Telegram应用上下文环境中启动一次恶意任务。作者认为,攻击者在编写该任务前深入分析了Telegram的内部运行机制。
Triada木马新迭代,安卓设备的隐形威胁
图注:恶意任务代码

最初,该恶意任务尝试获取受害者账户详细信息。为实现此目的,模块从名为userconfig的应用设置XML文件中读取通过SharedPreferences保存的键值对——提取与用户密钥关联的字符串。该字符串包含经过Base64编码的序列化Telegram用户数据,客户端代码会对其进行反序列化以便与API进行通信。恶意软件正是利用了这一点:Triada会尝试多种基于反射的方法来读取用户数据。

Triada木马新迭代,安卓设备的隐形威胁
图注:反序列化受害者账户信息

若以下用户信息尚未发送,恶意软件会将其上传至C2服务器:

  • 包含受害者账户详情的序列化字符串
  • 受害者手机号码
  • 应用的data目录中tgnet.dat文件的内容该文件存储Telegram认证数据(包括用户令牌),攻击者可借此完全控制受害者账户。
  • 数据库cache4.dbparams表中id=1的字符串,该有效载荷模块还包含未启用的广告展示代码。

第二个模块模块(fce117a9d7c8c73e5f56bda7437bdb28)通过Base64解码并执行另一有效载荷(8f0e5f86046faed1d06bca7d3e48c0b8)。此有效载荷为新Telegram消息注册观察者,检查消息内容。若消息文本匹配木马从C2服务器接收的正则表达式,则从客户端删除该消息。该模块还会尝试删除Telegram的新会话通知。

Triada木马新迭代,安卓设备的隐形威胁
图注:基于内容过滤消息

此外,恶意软件试图与某个在研究期间已失效的机器人发起对话。

Triada木马新迭代,安卓设备的隐形威胁

图注:发起与未知机器人的通信

(二)Instagram模块
Triada木马新迭代,安卓设备的隐形威胁

该模块(3f887477091e67c6aaca15bce622f485)首先从Google Play服务获取设备广告ID,并将其作为受害者标识。随后,每24小时运行一次恶意任务:依次扫描所有通过SharedPreferences存储的XML文件,直至找到首个以UserCookiePrefsFile_开头的文件。此文件包含活跃Instagram会话的Cookie,拦截这些会话可使攻击者劫持受害者账户。此外,任务还会收集data目录下analytics子目录中所有以batch结尾的文件。

Triada木马新迭代,安卓设备的隐形威胁

图注:恶意软件读取内部文件

这些文件与感染设备信息经Base64编码后发送至C2服务器。

(三)浏览器模块
Triada木马新迭代,安卓设备的隐形威胁

该模块(98ece45e75f93c5089411972f9655b97)注入以下包名的浏览器:

com.android.chrome  org.mozilla.firefox  com.microsoft.emmx  com.microsoft.emmx.canary  com.heytap.browser  com.opera.browser  com.sec.android.app.sbrowser  com.chrome.beta  

其首先通过TCP套接字与C2服务器建立连接,随后使用RSA算法加密AES-128(CBC模式)的初始化向量(IV)与密钥的拼接值。木马用AES加密感染设备信息,将密钥、IV及加密数据合并为单一缓冲区后发送至TCP套接字。

Triada木马新迭代,安卓设备的隐形威胁

图注:C2通信代码片段

C2服务器返回的缓冲区采用与请求相同的加密参数,其中包含定期替换浏览器打开链接的任务。示例如下:

{    a: 0,    b: 1,    c: 65,    d: {        a: 17,        b: https://stas.a691[.]com/,        c: [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23],        d: 2880    }}

链接替换机制如下:模块先检测宿主浏览器的版本及名称,为浏览器打开链接的方法注册钩子。

Triada木马新迭代,安卓设备的隐形威胁

图注:启动浏览器特定功能

此前提到,木马在初始阶段下载的辅助模块可拦截任意方法。浏览器模块利用此功能干扰不同浏览器的页面打开流程。

Triada木马新迭代,安卓设备的隐形威胁

图注:辅助模块的调用

此外,恶意软件通过反射替换应用的Instrumentation类实例,用于启动应用程序活动的execStartActivity方法在代理类中被重写。

Triada木马新迭代,安卓设备的隐形威胁

图注:Instrumentation代理类中的恶意调用

在安卓系统中,应用活动是通过广播携带特定动作的Intent来启动的。如果应用的某个活动带有Intent过滤器,并且该过滤器声明了能够处理该操作,系统将启动该Activity。当应用在浏览器中打开链接时,会创建并发送一个携带android.intent.action.VIEW动作的Intent实例,其中包含要打开的URI。Triada将会篡改接收到的Intent实例中的URI。

Triada木马新迭代,安卓设备的隐形威胁

图注:替换Intent中的链接

在作者分析的样本中,C2服务器发送了指向广告资源的链接。然而,我们认为恶意软件创建者也可能利用此功能进行网络钓鱼等活动。

(四)WhatsApp模块
Triada木马新迭代,安卓设备的隐形威胁

对于WhatsApp,木马的C2服务器会下发两个模块。第一个模块(d5bc1298e436424086cb52508fb104b1)每五分钟在WhatsApp客户端上下文环境中运行恶意任务。该任务读取客户端运行所需的各种密钥及活动会话数据。

Triada木马新迭代,安卓设备的隐形威胁

图注:木马窃取WhatsApp登录凭证

这些数据与受害者设备信息一同发送至C2服务器,使攻击者能完全控制受害者WhatsApp账户。

另一个模块(dc731e55a552caed84d04627e96906d5)初始阶段拦截WhatsApp客户端收发消息的函数。攻击者采用了一项有趣的技术应对WhatsApp代码中的类名混淆。模块代码包含待拦截的类名及方法名,这些名称特定于不同的WhatsApp版本,这要求攻击者手动分析各版本实现机制。需注意的是,若模块代码未包含特定客户端版本的类名,恶意软件可向C2服务器请求拦截配置。

若拦截成功,模块继续运行:向C2发送感染设备信息,接收返回的TCP套接字IP地址。随后通过此套接字传输指令,使恶意软件可执行以下操作:

  • 发送任意WhatsApp消息
  • 删除设备上的已发送消息以掩盖痕迹
  • 关闭连接
Triada木马新迭代,安卓设备的隐形威胁
图注:指令处理代码片段
(五)LINE模块
Triada木马新迭代,安卓设备的隐形威胁

该模块(1d582e2517905b853ec9ebfe77759d15)运行于即时通讯应用LINE内。其首先收集感染设备信息并发送至C2服务器,随后每30秒采集应用内部数据——具体为naver_line数据库settings表中的PROFILE_AUTH_KEYPROFILE_MID值。恶意模块还会获取User-Agent字符串及附加信息,以模拟来自LINE客户端的HTTP请求。此外,木马从naver_line数据库解密用户电话号码及地区信息,并通过反射获取应用访问令牌,借此劫持受害者账户。

Triada木马新迭代,安卓设备的隐形威胁

图注:获取访问令牌

模块将收集的数据发送至C2服务器。

Triada木马新迭代,安卓设备的隐形威胁

图注:数据收集与发送流程

(六)Skype模块
Triada木马新迭代,安卓设备的隐形威胁

该模块(b87706f7fcb21f3a4dfdd2865b2fa733)每两分钟运行恶意任务,尝试向C2发送感染设备信息。一旦C2接受请求,该任务终止,木马转为每小时读取Skype内部文件。初始阶段,模块尝试从React Native框架密钥链(keychain)中提取允许访问Skype账户的令牌。

Triada木马新迭代,安卓设备的隐形威胁

图注:Triada从密钥链提取令牌

若此方法失败,恶意软件则尝试从WebView Cookies中定位令牌。

Triada木马新迭代,安卓设备的隐形威胁

图注:从cookies中提取token

随后,token被发送至木马C2服务器,导致受害者账户遭入侵。

当前分析的Triada版本中未发现针对Microsoft Teams或Skype for Business的有效载荷。但作者认为,若微软逐步停用Skype,攻击者可能会为这些应用新增恶意模块。

(七)TikTok模块
Triada木马新迭代,安卓设备的隐形威胁

该模块(993eb2f8bf8b5c01b30e3044c3bc10a3)每日向攻击者服务器发送一次感染设备信息。此外,恶意软件收集受害者账户的多种数据:例如从应用内部目录读取WebView可能使用的缓存TikTok Cookies。攻击者关注其中的msToken(用于与TikTok API交互的关键字段),同时提取客户端中的用户ID(secUID)、API请求的User-Agent等信息。我们推测,攻击者需借此绕过TikTok API限制并模拟真实设备发起请求。每五分钟,恶意模块尝试将收集数据发送至服务器。

Triada木马新迭代,安卓设备的隐形威胁

图注:窃取TikTok账户数据

(八)Facebook模块
Triada木马新迭代,安卓设备的隐形威胁

其中一模块(b187551675a234c3584db4aab2cc83a9)每分钟运行恶意任务,检查宿主应用包名是否匹配以下列表:

com.facebook.lite  com.facebook.mlite  com.facebook.orca  

若匹配,则窃取Facebook认证Cookie。

Triada木马新迭代,安卓设备的隐形威胁

图注:窃取Facebook凭证

另一模块(554f0de0bddf30589482315fe336ea72)向C2发送感染设备信息。服务器响应包含需在WebView中打开的链接以及在页面执行的JavaScript代码。恶意软件可将页面元素上传至C2服务器,攻击者可能会利用这些元素窃取受害者的账户数据。

(九)短信模块
Triada木马新迭代,安卓设备的隐形威胁

这些恶意组件被注入短信类应用。其中一个组件(195e0f334beb34c471352179d422c42f)首先会注册自己的代理接收器来接收短信和彩信,以及自己的消息观察器。随后,恶意软件会从C2服务器检索规则,并将其存储在单独的数据库中,每条收到的消息都会根据这些规则进行内容过滤。

Triada木马新迭代,安卓设备的隐形威胁

图注:检查消息内容

这些规则的灵活性使木马能通过正则表达式提取特定短信中的验证码。我们推测攻击者主要利用此功能来让受害者注册付费订阅。此外,该模块可根据C2指令发送任意短信。

有趣是,模块包含一些未启用的对分析很有价值的代码片段——它们也可以用作消息过滤规则。每条规则含定义类型的字符串值:特定数据的MD5哈希值。代码中的matchWhatsappmatchRegister方法使用相同规则类型。对matchWhatsapp的分析表明,该恶意组件之前可以掩盖其他模块的踪迹,并删除包含用于登录受害者WhatsApp帐户的验证码的短信。使用相同的规则类型表明,该恶意模块还使用matchRegister来隐藏其活动,可能是为了秘密注册帐户。由于该恶意软件现在支持从C2服务器接收规则,因此此方法可能已过时。

Triada木马新迭代,安卓设备的隐形威胁

图注:拦截WhatsApp验证短信的规则

第二个模块(2ac5414f627f8df2e902fc34a73faf44)很可能是第一个模块的辅助组件。Android在发送短信时会对收件人进行检查。如果短信是发送到短代码(付费短信),系统会弹窗提示用户确认发送意图。此措施旨在防止设备所有者因遭遇短信木马而遭受经济损失。Android框架的SmsUsageMonitor类通过getPremiumSmsPermission方法验证应用是否拥有发送权限(策略值存储于premium-sms-policy键的SharedPreferences中)。策略值为整数,含义如下:

1:发送前需用户确认

2:禁止发送付费短信
3:允许发送且无需确认
恶意模块将短信类应用的策略值设为3,为前序模块扫清障碍。此特性未在安卓文档中公开,进一步体现攻击者的高超技术能力。
Triada木马新迭代,安卓设备的隐形威胁
图注:覆写付费短信发送策略的方法
(十)反向代理模块
Triada木马新迭代,安卓设备的隐形威胁

据我们所知,该模块(3dc21967e6fab9518275960933c90d04)集成至Google Play Services应用。启动后立即向C2发送设备信息,服务器返回IP地址及端口。木马会利用这些IP地址和端口号,通过修改版EasySocket库监听指令,这些指令为整型值,可以采用以下三个值:

1:与任意TCP端点建立连接,分配命令中传输的ID
2:终止指定ID的TCP连接
4:通过指定ID的TCP连接发送数据
Triada木马新迭代,安卓设备的隐形威胁
图注:处理接收到的数据
此模块核心目的是将感染设备转化为反向代理,使攻击者可通过受害者设备进行网络访问。
(十一)通话拦截模块
Triada木马新迭代,安卓设备的隐形威胁

该模块(a4f16015204db28f5654bb64775d75ad)被注入设备的电话应用中。其注册了一个恶意接收器,该接收器在接收到Intent后,可通过WebView执行任意JavaScript代码。

Triada木马新迭代,安卓设备的隐形威胁

图注:通过恶意接收器执行任意代码

恶意软件为JavaScript代码提供调用特定Java函数的接口。其中一个函数会获取受害者电话号码并通过Intent发送。

Triada木马新迭代,安卓设备的隐形威胁

图注:携带电话号码的Intent

指令编号通过Intent的type字段传递。但该模块缺少对此编号的处理程序,我们推测它是在另一个有效载荷中实现的,但在调查过程中我们无法获取该有效载荷。

作者认为此模块仍在开发阶段。例如,与浏览器模块类似,其替换Instrumentation类以篡改通过android.intent.action.VIEW打开的号码,但当前版本的模块缺少号码替换的代码。

Triada木马新迭代,安卓设备的隐形威胁

图注:Instrumentation代理类

作者确信该功能存在于其他版本或将在未来更新中实现。

(十二)剪贴板劫持模块
Triada木马新迭代,安卓设备的隐形威胁

该模块(04e485833e53aceb259198d1fcba7eaf)集成至Google Play应用。启动后向C2请求以逗号分隔的攻击者加密货币钱包地址列表。若获取失败,则使用硬编码地址。随后,该模块每两秒检查剪贴板,若发现加密货币钱包地址则替换为攻击者地址。此外,该模块还会注册一个用于剪贴板更改的事件处理程序,实时检测并篡改内容。

Triada木马新迭代,安卓设备的隐形威胁

图注:剪贴板劫持流程

(十三)附加模块
Triada木马新迭代,安卓设备的隐形威胁

在作者之前的报告[4]中,描述了初始Triada后门[5]下载的恶意模块,决定检查有效载荷列表是否已更改。遗憾的是,在研究期间,后门的C2服务器并未发送下载其他模块的链接。然而,作者注意到模块入口点使用了一致的特殊命名格式——将在稍后详细讨论这一点。这使得作者在遥测数据中发现了另一个Triada恶意软件样本BrsCookie_1004(952cc6accc50b75a08bb429fb838bff7),专用于窃取浏览器中的Instagram Cookies。

Triada木马新迭代,安卓设备的隐形威胁

图注:窃取Cookies过程

(十四)活动特征分析
Triada木马新迭代,安卓设备的隐形威胁

作者对该木马的分析发现了一些有趣的细节。例如,它与早期版本的Triada(308e35fb48d98d9e466e4dfd1ba6ee73)有相似之处:均采用与受感染框架部署的mms-core.jar后门相同的模块加载逻辑。

Triada木马新迭代,安卓设备的隐形威胁

图注:在旧版Triada中加载模块

Triada木马新迭代,安卓设备的隐形威胁

图注:在mms-core.jar中加载模块

此外,模块代码中频繁出现以PPP开头的日志条目。

Triada木马新迭代,安卓设备的隐形威胁

图注:在旧版Triada中创建日志条目

Triada木马新迭代,安卓设备的隐形威胁

图注:在新版本的Triada中加载binder.so中的模块

来自binder.so恶意库设置的系统属性与旧版Triada相似。这些相似之处以及其他相似之处使我们相信,我们分析的样本是Triada的新版本。

Triada模块使用的C2服务器g.sxim[.]me曾关联Vo1d后门模块,暗示二者可能存在联系。

(十五)传播途径
Triada木马新迭代,安卓设备的隐形威胁

在所有已知感染案例中,设备固件的构建指纹(build fingerprint)末位字符与官方发布版本不同。追踪类似指纹发现,多个论坛用户投诉从电商平台购买的仿冒设备感染Triada。推测供应链环节遭入侵,线上卖家可能在不知情情况下分销受感染设备。

Triada木马新迭代,安卓设备的隐形威胁

图注:用户投诉假冒设备案例

翻译:在[某平台]购买假冒设备的经历。

请保留此讨论,或许能帮助其他与我一样陷入困境的人自行修复手机。

原版本:8GB/256GB/14.0.6.0(TGPMIXN)。

当前版本:4GB/128GB/14.0.6.0(TGPMIXM)

(十六)受害者分布
Triada木马新迭代,安卓设备的隐形威胁

根据卡巴斯基安全网络(KSN)遥测数据,我们的安全解决方案在全球范围内检测到超过4500台感染设备。受攻击用户数量最多的国家/地区包括俄罗斯、英国、荷兰、德国和巴西。然而,由于本文所述的非常规传播方式,实际感染设备数量可能远高于此。下图展示了2025年3月13日至4月15日期间受Triada攻击用户数量排名前十的国家/地区。

Triada木马新迭代,安卓设备的隐形威胁

图注:2025年3月13日-4月15日受Triada攻击用户数量TOP 10国家/地区

此外,作者尝试估算Triada开发者窃取的加密货币金额。通过向木马C2服务器发起查询并接收返回的替换钱包地址,结合开源情报分析发现:自2024年6月13日起,攻击者控制的多个钱包已累计接收价值超过26.4万美元的各类加密货币。下图展示了部分攻击者控制的TRON钱包余额变化趋势。

Triada木马新迭代,安卓设备的隐形威胁

图注:攻击者TRON钱包收益走势图

(十七)结论
Triada木马新迭代,安卓设备的隐形威胁

新版Triada木马是一个多阶段后门程序,赋予攻击者对受害者设备的无限控制权。其模块化架构为开发者提供了广泛的恶意能力,包括定向投放新模块及大规模感染特定应用。若您的设备已感染Triada,建议遵循以下规则以降低风险:

1.为设备安装纯净固件。
2.在刷入新固件前,避免使用设备中现有的即时通讯、加密货币钱包或社交应用。
3.部署可靠的安全解决方案,以便及时获知设备上的类似威胁。
Triada木马新迭代,安卓设备的隐形威胁
三、失陷指标
(一)受感染的系统框架
Triada木马新迭代,安卓设备的隐形威胁
f468a29f836d2bba7a2b1a638c5bebf0 72cbbc58776ddc44abaa557325440bfb fb937b1b15fd56c9d8e5bb6b90e0e24a 2ac4d8e1077dce6f4d2ba9875b987ca7 7b8905af721158731d24d0d06e6cb27e 9dd92503bd21d12ff0f2b9740fb6e529
(二)受感染的原生库
Triada木马新迭代,安卓设备的隐形威胁
89c3475be8dba92f4ee7de0d981603c1 01dff60fbf8cdf98980150eb15617e41 18fef4b6e229fc01c8b9921bb0353bb0 21be50a028a505b1d23955abfd2bdb3e 43adb868af3812b8f0c47e38fb93746a 511443977de2d07c3ee0cee3edae8dc8 716f0896b22c2fdcb0e3ee56b7c5212f 83dbc4b95f9ae8a83811163b301fe8c7 8892c6decebba3e26c57b20af7ad4cca a7127978fac175c9a14cd8d894192f78 a9a106b9df360ec9d28f5dfaf4b1f0b5 c30c309e175905ffcbd17adb55009240 c4efe3733710d251cb041a916a46bc44 e9029811df1dd8acacfe69450b033804 e961cb0c7d317ace2ff6159efe30276a
(三)模块
Triada木马新迭代,安卓设备的隐形威胁
Triada木马新迭代,安卓设备的隐形威胁
(四)模块C2服务器
Triada木马新迭代,安卓设备的隐形威胁
lnwxfq[.]qz94[.]com8.218.194[.]192g.sxim[.]me68u91[.]66foh90o[.]comjmll4[.]66foh90o[.]comw0g25[.]66foh90o[.]comtqq6g[.]66foh90o[.]comzqsvl[.]uhabq9[.]comhm1es[.]uhabq9[.]com0r23b[.]uhabq9[.]comvg1ne[.]uhabq9[.]comis5jg[.]3zweuj[.]comqrchq[.]vrhoeas[.]comxjl5a[.]unkdj[.]xyzlvqtcqd[.]pngkcal[.]comxc06a[.]0pk05[.]com120.79.89[.]98[xcbm4[.]0pk05[.]comlptkw[.]s4xx6[.]comad1x7[.]mea5ms[.]comv58pq[.]mpvflv[.]combincdi[.]birxpk[.]com773i8h[.]k6zix6[.]comya27fw[.]k6zix6[.]com
(五)用于分发恶意模块的CDN服务器
Triada木马新迭代,安卓设备的隐形威胁
mp2y3[.]sm20j[.]xyzompe2[.]7u6h8[.]xyzapp-file.b-cdn[.]net
(六)GitHub配置
Triada木马新迭代,安卓设备的隐形威胁
[hxxps://raw.githubusercontent[.]com/adrdotocet/ott/main/api.json [hxxps://raw.githubusercontent[.]com/adrdotocet2/ott/main/api.json [hxxps://raw.githubusercontent[.]com/adrdotocet3/ott/main/api.json
(七)Triada系统属性
Triada木马新迭代,安卓设备的隐形威胁
os.config.ppgl.ext.hws.cdos.config.ppgl.btcore.devicekeyos.config.ppgl.versionos.config.opp.build.modelos.config.opp.build.statusos.config.ppgl.statusos.config.ppgl.status.romos.config.ppgl.build.vresionos.config.hk.statusos.config.ppgl.cdos.config.ppgl.diros.config.ppgl.dexokos.config.ppgl.btcore.sericodeos.config.verify.statusos.config.alice.build.channelos.config.alice.build.timeos.config.alice.service.statusos.android.version.alice.sure
Triada木马新迭代,安卓设备的隐形威胁
四、相关链接
[1]https://securelist.com/triada-trojan-modules-analysis/116380/
[2]https://securelist.com/crimeware-report-android-malware/112121/#dwphon
[3]https://source.android.com/docs/core/runtime/jit-compiler
[4]https://securelist.com/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/74032/
[5]https://securelist.com/triada-trojan-modules-analysis/116380/#2-the-mms-core-jar-backdoor
Triada木马新迭代,安卓设备的隐形威胁
山石网科是中国网络安全行业的技术创新领导厂商,由一批知名网络安全技术骨干于2007年创立,并以首批网络安全企业的身份,于2019年9月登陆科创板(股票简称:山石网科,股票代码:688030)。
现阶段,山石网科掌握30项自主研发核心技术,申请560多项国内外专利。山石网科于2019年起,积极布局信创领域,致力于推动国内信息技术创新,并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发,旨在通过自主创新,为用户提供更高效、更安全的网络安全保障。目前,山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、安全服务、安全教育等九大类产品服务,50余个行业和场景的完整解决方案。
Triada木马新迭代,安卓设备的隐形威胁

原文始发于微信公众号(山石网科安全技术研究院):Triada木马新迭代,安卓设备的隐形威胁

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月6日22:02:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Triada木马新迭代,安卓设备的隐形威胁http://cn-sec.com/archives/4141708.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息