Eksperci z Kaspersky Lab wykryli trojana Triada atakującego urządzenia z Androidem, którego pod względem złożoności można przyrównać do szkodliwych programów tworzonych dla systemu Windows. Szkodnik ten, którego charakteryzuje ukradkowość, modułowość oraz długi czas pozostawania w zainfekowanym w systemie, został stworzony przez doświadczonych cyberprzestępców. Na największe ryzyko narażone są urządzenia mobilne działające pod kontrolą systemu Android w wersjach 4.4.4 oraz wcześniejszych.
Według badania dotyczącego ewolucji cyberzagrożeń mobilnych przeprowadzonego niedawno przez Kaspersky Lab, niemal połowę z 20 najpopularniejszych trojanów w 2015 r. stanowiły szkodliwe programy potrafiące uzyskać prawa dostępu na poziomie administratora. Tego rodzaju przywileje umożliwiają cyberprzestępcom zainstalowane aplikacji na telefonie bez wiedzy użytkownika.
Cechą wyróżniającą to szkodliwe oprogramowanie jest wykorzystywanie Zygote — nadrzędnego elementu procesu aplikacji na urządzeniu z systemem Android — który zawiera biblioteki systemowe oraz struktury wykorzystywane przez każdą aplikację zainstalowaną na urządzeniu. Innymi słowy, jest to moduł systemowy, którego celem jest uruchomienie aplikacji działających w Androidzie. Jest to standardowy proces aplikacji, który odnosi się do każdego nowo zainstalowanego programu. To oznacza, że tuż po przedostaniu się do systemu trojan stanie się częścią procesu aplikacji i będzie dodawany do każdej aplikacji uruchamiającej się na urządzeniu, przez co będzie mógł nawet zmienić logikę funkcjonowania programów. Jest to pierwszy przypadek, gdy tego rodzaju technologia została wykryta w szkodliwym programie występującym na wolności i stworzonym z myślą o infekowaniu użytkowników urządzeń z Androidem.
Triada charakteryzuje się zaawansowanymi możliwościami ukrywania się. Po wniknięciu do urządzenia użytkownika trojan dodaje się do niemal każdego procesu roboczego i egzystuje w pamięci krótkoterminowej. Z tego powodu wykrycie go i usunięcie przy użyciu rozwiązań antywirusowych jest prawie niemożliwe. Triada działa ukradkowo, co oznacza, że wszystkie szkodliwe działania są ukryte zarówno przed użytkownikiem, jak i innymi aplikacjami.
Trojan Triada potrafi modyfikować wiadomości SMS wysyłane przez inne aplikacje. Obecnie jest to główna funkcjonalność tego szkodnika. Gdy użytkownik dokonuje zakupów za pośrednictwem SMS-ów wewnątrz gier w systemie Android, oszuści mogą zmodyfikować wychodzące wiadomości tak, aby pieniądze trafiły do nich zamiast do twórców gry.
„Triada składająca się z trojanów Ztrog, Gorpo oraz Leech oznacza nowy etap w ewolucji zagrożeń opartych na systemie Android. Mamy do czynienia z pierwszym rozpowszechnionym szkodliwym oprogramowaniem zdolnym do eskalacji przywilejów na większości urządzeń. Najwięcej użytkowników zaatakowanych przy użyciu tych trojanów było zlokalizowanych w Rosji, Indiach, na Ukrainie oraz w państwach Azji i Pacyfiku. Zagrożenia w postaci szkodliwej aplikacji uzyskującej dostęp do urządzenia na poziomie administratora nie wolno lekceważyć. Jak pokazuje przykład Traidy, główne niebezpieczeństwo polega na tym, że tego rodzaju programy zapewniają dostęp do urządzenia znacznie bardziej zaawansowanym i niebezpiecznym szkodliwym aplikacjom. Posiadają również dobrze przemyślaną architekturę, rozwiniętą przez cyberprzestępców, którzy dysponują dogłębną wiedzą na temat atakowanej platformy mobilnej” — powiedział Nikita Buczka, młodszy analityk szkodliwego oprogramowania, Kaspersky Lab.
Odinstalowanie tego szkodliwego oprogramowania z zainfekowanego urządzenia wymaga uzyskania dostępu na poziomie administratora i ręcznego usunięcia plików trojana. Użytkownicy produktów Kaspersky Lab są chronieni przed modułami trojana Triada. Są one wykrywane jako:
- Trojan-Downloader.AndroidOS.Triada.a,
- Trojan-SMS.AndroidOS.Triada.a,
- Trojan-Banker.AndroidOS.Triada.a,
- Backdoor.AndroidOS.Triada.
Źródło: Kaspersky Lab Polska