Specialiştii în securitate informatică de la Bitdefender au depistat reapariţia ameninţării informatice Triout, specializată în colectarea de informaţii de pe telefonul mobil – apeluri telefonice, mesaje, fotografii, videoclipuri şi coordonate GPS, într-o aplicaţie populară de VPN pentru Android, descărcată din Google Play de 50 milioane de ori şi cu peste un milion de evaluări, majoritatea pozitive, potrivit unui comunicat de presă trimis de reprezentanţii companiei.

Aplicaţia infectată Psiphon, folosită pentru accesarea unor pagini de internet cenzurate sau blocate, era distribuită prin magazine neoficiale şi conţine aceeaşi mostră de ameninţare informatică identificată în vara lui 2018, când era încorporată într-o aplicaţie cu conţinut destinat adulţilor. Dincolo de Triout, aplicaţia compromisă mai include şi trei componente de adware – Google Ads, Inmobi Ads şi Mopub Ads – menite să genereze venituri suplimentare atacatorilor.

Odată descărcată aplicaţia, Triout se instalează automat pe telefonul utilizatorului, de unde transmite toate informaţiile către serverul de comandă şi control al atacatorului, fără ca victima să ştie de existenţa sa.

În mod ironic, deşi aplicaţia este promovată drept instrument menit să asigure confidenţialitatea în timpul navigării pe internet, aceasta face exact opusul, din cauza integrării ameninţării pentru spionaj.

„Expansiunea dispozitivelor cu Android a crescut interesul atacatorilor de a dezvolta noi modele de ameninţări informatice. Prezenţa acestor terminale în vieţile noastre, nivelul de informaţii la care au acces şi senzorii cu care sunt echipate le transformă în instrumentul perfect de spionaj. Deşi ameninţarea Triout nu a suferit schimbări ale funcţionalităţilor, faptul că atacatorii o integrează din nou în aplicaţii populare arată că incidente similare vor apărea şi în viitor. Triout poate fi vectorul ideal de spionaj pentru ţinte cheie”, spune Liviu Arsene, specialist în securitate informatică la Bitdefender.

Aplicaţia infectată a fost activă în perioada mai-decembrie 2018. Atât aplicaţia compromisă, cât şi cea legitimă arată şi se comportă identic, însemnând că atacatorii s-au concentrat numai pe includerea instrumentului de spionaj, cu scopul clar de a nu trezi suspiciuni victimei.

Recomandările pentru utilizatori sunt să descarce aplicaţii numai din magazine oficiale, să folosească o soluţie de securitate performantă pe fiecare dispozitiv şi să actualizeze mereu sistemul de operare la cea mai recentă versiune.