Triada：一款能够利用沙盒来躲避安全检测的Android木马

最近，人们发觉了这款可以运用沙盒游戏手机软件（比如VirtualApp）避开检测服务并盗取客户Twitter账户的手机端恶意程序。因而人们觉得，运用沙盒游戏来避开反病毒检验的恶意程序又将刮起本轮的安全性飓风。

　　恶意程序剖析

　　这个恶意程序全名是Triada（包名叫Com.android.adapi）,最开始在2014年中下旬发觉于中国大陆，它应用了这款开源系统沙箱（DroidPlugin）来避开安全性防护软件的检验。DroidPlugin最开始由奇虎电脑管家企业承担开发设计，并在Android应用商店发布，它能够在不用安裝aPP的状况下动态性载入并运作aPP，就跟VirtualApp相近。Triada能够运用DroidPlugin来载入故意APK软件，因此它就能够不在安裝这种软件的状况下运作这种软件。因而，这也促使反病毒商品更为无法检验到这类恶意程序了，由于它的故意部件并沒有在服务器App中储存。DroidPlugin新项目编码也代管在GitHub中，很感兴趣的同学们能够自主免费下载查询。【传送门】

　　现阶段，网络攻击关键根据社会工程学技术性来散播Triada，并引诱客户免费下载和安裝这一恶意程序。当恶意程序取得成功感柒机器设备以后，它会马上掩藏手机桌面上的标志，并刚开始在后台管理盗取总体目标客户的隐私保护信息内容，与此同时，总体目标客户本质就不容易发觉自个遭受了感柒，而自个的私人信息信息内容却早就被发送至由互联网犯罪嫌疑人所操纵的网络服务器中了。

　　事实上，该恶意程序的初期版本号中并沒有应用到DroidPlugin，可是依据人们的威协情报信息显示信息，科学研究工作人员在上年十一月份检验上了1个新的变种版本号，而这一变种版本号中融合了DroidPlugin，并将自个装扮成了小米助手（中国大陆的这款知名Android应用商城）。

　　趣味的是，这个恶意程序的开发人员以至于还向DroidPlugin项目报告了1个由内存不够所引起的不正确难题。

　　这个恶意程序会掩藏Asset文件目录中全部的故意APK软件。

　　图中中常显示信息的每1个软件全是用于对总体目标客户开展监控器的，每款常有其专做的主要用途，比如文档盗取和视频监控系统等等等等。至少有个软件能够与远程命令操纵服务器进行通讯，网络攻击能够根据网络服务器向软件上传命令来操纵其主题活动，而落实措施这种控制指令的就是说安裝在总体目标手机上中的故意APK软件了。下边列举的是至少部分APK的包，而人们能够从包名中猜中每一个包的作用：

　　从编码文件目录中人们可以看，Triada的变种版本号早已将DroidPlugin融合进去。

　　这个恶意程序会应用DroidPlugin来“安裝”故意软件，可是这种软件最后会在沙箱自然环境（DroidPlugin）中运作，而并不是确实安裝在总体目标机器设备中。运行以后，网络攻击便能够对总体目标手机上开展监控了。

　　小结

　　事实上，这种故意软件的作用是能够立即在1个App中建立的，那么恶意程序Triada的开发人员需不需要应用DroidPlugin沙盒游戏来动态性载入并运作软件呢？惟一将会的缘故就是说犯罪嫌疑人期待根据沙盒游戏来绕开反病毒商品的检验。要是1个App自身并不是包括一切的故意主题活动，只是根据软件来动态性载入并实行故意主题活动得话，反病毒商品是没办法检验到这类安全性威协的。

　　威协检验指标值