Experţii Kaspersky Lab au detectat un nou troian pentru dispozitive Android, comparabil cu programele malware pentru Windows în materie de complexitate. Este nedetectabil, modular, persistent şi scris de infractori cibernetici profesionişti. Utilizatorii dispozitivelor cu Android 4.4.4. sau versiuni mai vechi sunt cei mai expuşi.

Aproape jumătate dintre troienii din Top 20 pe 2015 au fost programe malware cu abilitatea de a obţine acces cu drepturi de superutilizator. Acestea le dau infractorilor cibernetici posibilitatea să instaleze aplicaţii pe telefon, fără ca posesorul să ştie.

Acest tip de malware se răspândeşte prin intermediul unor aplicaţii pe care utilizatorii le descarcă/instalează din surse care ridică semne de întrebare în privinţa siguranţei lor. Aplicaţiile pot fi găsite uneori în Google Play, sub forma unui joc sau a unei aplicaţii de divertisment. De asemenea, pot fi instalate în timpul unui update al unei aplicaţii existente şi, ocazional, sunt preinstalate pe dispozitivul mobil. Dispozitivele cu Android 4.4.4. sau cu variante anterioare sunt cele mai vulnerabile.

Există 11 familii de troieni cunoscuţi care folosesc privilegii de tip root. Trei dintre aceştia – Ztorg, Gorpo şi Leech – lucrează împreună. Dispozitivele infectate cu aceşti troieni se organizează într-o reţea, creând un fel de botnet de publicitate, pe care atacatorii îl pot folosi ca să instaleze diferite tipuri de publicitate nedorită.

La puţin timp după ce preiau controlul sistemului, troienii descarcă şi instalează o breşă de acces în sistem. Apoi, prin intermediul ei, activează două module care pot descărca, instala şi lansa alte aplicaţii. Încărcarea aplicaţiei şi modulele de instalare sunt realizate de tipuri diferite de troieni, dar toţi au fost adăugaţi în baza de date antivirus Kaspersky Lab sub acelaşi nume – Triada.

O trăsătură specifică acestui program malware este folosirea Zygote – managerul aplicaţiilor de pe un dispozitiv Android. Cu alte cuvinte, scopul programului malware este să lanseze aplicaţii Android. Acesta este un proces standard, valabil pentru fiecare aplicaţie nou instalată, ceea ce înseamnă că, odată intrat în sistem, troianul devine parte din procedurile de bază pentru aplicaţii şi va fi pre-instalat în fiecare aplicaţie nouă pe acel dispozitiv, fiind capabil să schimbe logica operaţiunilor din aplicaţie.

După ce intră pe dispozitivul utilizatorului, Triada se infiltrează în aproape toate procesele şi continuă să existe în memoria pe termen scurt. Acest lucru îl face aproape imposibil de detectat şi şters cu ajutorul soluţiilor antimalware. Triada operează silenţios, fiind nevăzut atât de utilizator, cât şi de alte aplicaţii.

Complexitatea funcţiilor troianului Triada dovedeşte că în spatele lui se află o echipă de infractori cibernetici profesionişti, care înţeleg foarte bine cum funcţionează platforma mobilă vizată.

Troianul Triada poate modifica mesajele trimise de alte aplicaţii – o funcţionalitate foarte importantă a programului. Atunci când un utilizator face cumpărături prin SMS, pentru anumite jocuri, este posibil ca infractorii să modifice cursul SMS-ului, astfel încât banii să ajungă la ei, şi nu la dezvoltatorii jocului.

“Triada formată din Ztrog, Gorpo şi Leech marchează un nou stadiu în evoluţia ameninţărilor pentru dispozitive Android. Este primul program malware cu potenţialul de a escalada privilegiile pe majoritatea dispozitivelor. Cea mai mare parte a utilizatorilor atacaţi de grupul de troieni provin din Rusia, India, Ucraina şi din ţări din zona Asia-Pacific. Ameninţarea cea mai serioasă, aşa cum arată exemplul Triada, este aceea că oferă o poartă de acces şi spre alte aplicaţii, mult mai complexe şi mai periculoase. De asemenea, structura lor arată că infractorii cunosc în profunzime platforma mobilă vizată”, spune Nikita Buchka, Junior Malware Analyst, Kaspersky Lab.

Pentru că este aproape imposibil să dezinstalezi acest program malware de pe un dispozitiv, utilizatorii au două opţiuni pentru a scăpa de el. Prima este să facă reboot şi să şteargă aplicaţiile malware manual. A doua este să treacă peste anumite setări ale sistemului Android de pe dispozitiv – aşa-numitul “jailbreak”.