Potrivit cercetării recente Kaspersky Lab Mobile Virusology, aproape jumătate dintre troienii din Top 20 pe 2015 au fost programe malware cu abilitatea de a obține acces cu drepturi de superutilizator. Acestea le dau infractorilor cibernetici posibilitatea să instaleze aplicații pe telefon, fără ca posesorul să știe.
Acest tip de malware se răspândește prin intermediul unor aplicații pe care utilizatorii le descarcă/instalează din surse care ridică semne de întrebare în privința siguranței lor. Aplicațiile pot fi găsite uneori în Google Play, sub forma unui joc sau a unei aplicații de divertisment. De asemenea, pot fi instalate în timpul unui update al unei aplicații existente și, ocazional, sunt preinstalate pe dispozitivul mobil. Dispozitivele cu Android 4.4.4. sau cu variante anterioare sunt cele mai vulnerabile.
Există 11 familii de troieni cunoscuți care folosesc privilegii de tip root. Trei dintre aceștia – Ztorg, Gorpo și Leech – lucrează împreună. Dispozitivele infectate cu acești troieni se organizează într-o rețea, creând un fel de botnet de publicitate, pe care atacatorii îl pot folosi ca să instaleze diferite tipuri de publicitate nedorită.
La puțin timp după ce preiau controlul sistemului, troienii descarcă și instalează o breșă de acces în sistem. Apoi, prin intermediul ei, activează două module care pot descărca, instala și lansa alte aplicații. Încărcarea aplicației și modulele de instalare sunt realizate de tipuri diferite de troieni, dar toți au fost adăugați în baza de date antivirus Kaspersky Lab sub același nume – Triada.
O trăsătură specifică acestui program malware este folosirea Zygote – managerul aplicațiilor de pe un dispozitiv Android. Cu alte cuvinte, scopul programului malware este să lanseze aplicații Android. Acesta este un proces standard, valabil pentru fiecare aplicație nou instalată, ceea ce înseamnă că, odată intrat în sistem, troianul devine parte din procedurile de bază pentru aplicații și va fi pre-instalat în fiecare aplicație nouă pe acel dispozitiv, fiind capabil să schimbe logica operațiunilor din aplicație. Este pentru prima oară când o astfel de tehnologie a fost văzută.
Programul are capacitatea să se mențină ascuns. După ce intră pe dispozitivul utilizatorului, Triada se infiltrează în aproape toate procesele și continuă să existe în memoria pe termen scurt. Acest lucru îl face aproape imposibil de detectat și șters cu ajutorul soluțiilor antimalware. Triada operează silențios, fiind nevăzut atât de utilizator, cât și de alte aplicații.
Complexitatea funcțiilor troianului Triada dovedește că în spatele lui se află o echipă de infractori cibernetici profesioniști, care înțeleg foarte bine cum funcționează platforma mobilă vizată. Troianul Triada poate modifica mesajele trimise de alte aplicații – o funcționalitate foarte importantă a programului. Atunci când un utilizator face cumpărături prin SMS, pentru anumite jocuri, este posibil ca infractorii să modifice cursul SMS-ului, astfel încât banii să ajungă la ei, și nu la dezvoltatorii jocului.
“Triada formată din Ztrog, Gorpo și Leech marchează un nou stadiu în evoluția amenințărilor pentru dispozitive Android. Este primul program malware cu potențialul de a escalada privilegiile pe majoritatea dispozitivelor. Cea mai mare parte a utilizatorilor atacați de grupul de troieni provin din Rusia, India, Ucraina și din țări din zona Asia-Pacific. Amenințarea cea mai serioasă, așa cum arată exemplul Triada, este aceea că oferă o poartă de acces și spre alte aplicații, mult mai complexe și mai periculoase. De asemenea, structura lor arată că infractorii cunosc în profunzime platforma mobilă vizată”, spune Nikita Buchka, Junior Malware Analyst, Kaspersky Lab.
Pentru că este aproape imposibil să dezinstalezi acest program malware de pe un dispozitiv, utilizatorii au două opțiuni pentru a scăpa de el. Prima este să facă reboot și să șteargă aplicațiile malware manual. A doua este să treacă peste anumite setări ale sistemului Android de pe dispozitiv – așa-numitul “jailbreak”.
