Un nou virus pentru Android îţi arată cea mai mare problemă a platformei
0Kaspersky susţine că a descoperit virusul Triada creat pentru dispozitive mobile care invadează sistemul într-un mod similar ameninţărilor pentru Windows.
Troianul Trriada pentru dispozitive Android este comparabil cu programele malware pentru Windows în materie de complexitate. Este nedetectabil, modular, persistent şi scris de infractori cibernetici profesionişti. Utilizatorii dispozitivelor cu Android 4.4.4. sau mai vechi sunt cei mai expuşi. Această ameninţare arată, încă o dată, cea mai mare problemă pentru platformă, deoarece peste 64% din dispozitive încă au una dintre aceste versiuni. Restul sunt pe Android 5.0 sau mai nou.
Potrivit cercetării recente Kaspersky Lab Mobile Virusology, aproape jumătate dintre troienii din Top 20 pe 2015 au fost programe malware cu abilitatea de a obţine acces cu drepturi de superutilizator. Acestea le dau infractorilor cibernetici posibilitatea să instaleze aplicaţii pe telefon, fără ca posesorul să ştie.
Acest tip de malware se răspândeşte prin intermediul unor aplicaţii pe care utilizatorii le descarcă şi instalează din surse nesigure. Aplicaţiile pot fi găsite uneori şi în Play Store, sub forma unui joc sau a unei aplicaţii de divertisment. De asemenea, pot fi instalate în timpul unei actualizări a unei aplicaţii existente şi, ocazional, sunt preinstalate pe dispozitivul mobil.
Cum funcţionează un troian de tipul acesta
Există 11 familii de troieni cunoscuţi care folosesc privilegii de tip root. Trei dintre aceştia – Ztorg, Gorpo şi Leech – lucrează împreună. Dispozitivele infectate cu aceşti troieni se organizează într-o reţea, creând un fel de botnet de publicitate, pe care atacatorii îl pot folosi ca să instaleze diferite tipuri de publicitate nedorită.
La puţin timp după ce preiau controlul sistemului, troienii descarcă şi instalează o breşă de acces în sistem. Apoi, prin intermediul ei, activează două module care pot descărca, instala şi lansa alte aplicaţii. Încărcarea aplicaţiei şi modulele de instalare sunt realizate de tipuri diferite de troieni, dar toţi au fost adăugaţi în baza de date antivirus Kaspersky Lab sub acelaşi nume – Triada.
O trăsătură specifică acestui program malware este folosirea Zygote – managerul aplicaţiilor de pe un dispozitiv Android. Cu alte cuvinte, scopul programului malware este să lanseze aplicaţii Android. Acesta este un proces standard, valabil pentru fiecare aplicaţie nou instalată, ceea ce înseamnă că, odată intrat în sistem, troianul devine parte din procedurile de bază pentru aplicaţii şi va fi pre-instalat în fiecare aplicaţie nouă pe acel dispozitiv, fiind capabil să schimbe logica operaţiunilor din aplicaţie.
Premieră pentru o aşa ameninţare
Programul are capacitatea să se menţină ascuns. După ce accesează dispozitivul utilizatorului, Triada se infiltrează în aproape toate procesele şi continuă să existe în memoria pe termen scurt. Acest lucru îl face aproape imposibil de detectat şi şters cu ajutorul soluţiilor antimalware. Triada operează silenţios, fiind nevăzut atât de utilizator, cât şi de alte aplicaţii.
Complexitatea funcţiilor troianului Triada dovedeşte că în spatele lui se află o echipă de infractori cibernetici profesionişti, care înţeleg foarte bine cum funcţionează platforma mobilă vizată.
Troianul Triada poate modifica mesajele trimise de alte aplicaţii – o funcţionalitate foarte importantă a programului. Atunci când un utilizator face cumpărături prin SMS, pentru anumite jocuri, este posibil ca infractorii să modifice cursul SMS-ului, astfel încât banii să ajungă la ei, şi nu la dezvoltatorii jocului.
Pentru că este aproape imposibil să dezinstalezi acest program malware de pe un dispozitiv, utilizatorii au două opţiuni pentru a scăpa de el. Prima este să facă reboot şi să şteargă aplicaţiile malware manual. A doua este să treacă peste anumite setări ale sistemului Android de pe dispozitiv – aşa-numitul „jailbreak“. Kaspersky susţine că produsele sale detectează componentele troienilor Triada ca: Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.