Cercetatori de la Kaspersky Lab au descoperit un nou troian pentru dispozitivele Android numit Triada.Troianul este comparabil cu programele malware pentru Windows in materie de complexitate. Este nedetectabil, modular, persistent si scris de infractori cibernetici profesionisti. Dispozitivele ce ruleaza Android 4.4.4. sau versiuni mai vechi sunt cele mai expuse.
Acest tip de malware se raspandeste prin intermediul unor aplicatii pe care utilizatorii le descarca/instaleaza din surse care ridica semne de intrebare in privinta sigurantei lor. Aplicatiile pot fi gasite uneori in Google Play, sub forma unui joc sau a unei aplicatii de divertisment. De asemenea, pot fi instalate in timpul unui update al unei aplicatii existente si, ocazional, sunt preinstalate pe dispozitivul mobil. Dispozitivele cu Android 4.4.4. sau cu variante anterioare sunt cele mai vulnerabile.
Programul are capacitatea sa se mentina ascuns. Dupa ce intra pe dispozitivul utilizatorului, Triada se infiltreaza in aproape toate procesele si continua sa existe in memoria pe termen scurt. Acest lucru il face aproape imposibil de detectat si sters cu ajutorul solutiilor antimalware. Triada opereaza silentios, fiind nevazut atat de utilizator, cat si de alte aplicatii
O trasatura specifica acestui program malware este folosirea Zygote – managerul aplicatiilor de pe un dispozitiv Android. Cu alte cuvinte, scopul programului malware este sa lanseze aplicatii Android. Acesta este un proces standard, valabil pentru fiecare aplicatie nou instalata, ceea ce inseamna ca, odata intrat in sistem, troianul devine parte din procedurile de baza pentru aplicatii si va fi pre-instalat in fiecare aplicatie noua pe acel dispozitiv, fiind capabil sa schimbe logica operatiunilor din aplicatie. Este pentru prima oara cand o astfel de tehnologie a fost vazuta.
Troianul Triada poate modifica mesajele trimise de alte aplicatii – o functionalitate foarte importanta a programului. Atunci cand un utilizator face cumparaturi prin SMS, pentru anumite jocuri, este posibil ca infractorii sa modifice cursul SMS-ului, astfel incat banii sa ajunga la ei, si nu la dezvoltatorii jocului.
Pentru ca este aproape imposibil sa dezinstalezi acest program malware de pe un dispozitiv, utilizatorii au doua optiuni pentru a scapa de el. Prima este sa faca reboot si sa stearga aplicatiile malware manual. A doua este sa treaca peste anumite setari ale sistemului Android de pe dispozitiv – asa-numitul “jailbreak”.
Potrivit cercetarii recente Kaspersky Lab Mobile Virusology, aproape jumatate dintre troienii din Top 20 pe 2015 au fost programe malware cu abilitatea de a obtine acces cu drepturi de superutilizator. Acestea le dau infractorilor cibernetici posibilitatea sa instaleze aplicatii pe telefon, fara ca posesorul sa stie.
Exista 11 familii de troieni cunoscuti care folosesc privilegii de tip root. Trei dintre acestia – Ztorg, Gorpo si Leech – lucreaza impreuna. Dispozitivele infectate cu acesti troieni se organizeaza intr-o retea, creand un fel de botnet de publicitate, pe care atacatorii il pot folosi ca sa instaleze diferite tipuri de publicitate nedorita.
La putin timp dupa ce preiau controlul sistemului, troienii descarca si instaleaza o bresa de acces in sistem. Apoi, prin intermediul ei, activeaza doua module care pot descarca, instala si lansa alte aplicatii. Incarcarea aplicatiei si modulele de instalare sunt realizate de tipuri diferite de troieni, dar toti au fost adaugati in baza de date antivirus Kaspersky Lab sub acelasi nume – Triada.
Complexitatea functiilor troianului Triada dovedeste ca in spatele lui se afla o echipa de infractori cibernetici profesionisti, care inteleg foarte bine cum functioneaza platforma mobila vizata.
Produsele Kaspersky Lab detecteaza componentele troienilor Triada ca: Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.
