A Kaspersky Lab legutóbbi Mobile Virusology kutatása szerint a top 20 2015-ös trójai közel fele olyan rosszindulatú program volt, amely képes szuper felhasználói jogokat szerezni. A szuper felhasználói jogosultságok lehetővé teszik a kiberbűnözők számára, hogy a felhasználó tudta nélkül telepítsenek programokat a telefonra.
Ez a fajta malware olyan alkalmazásokkal terjed, amelyeket a felhasználók megbízhatatlan forrásból töltenek le. Ezek az alkalmazások néha megtalálhatók a hivatalos Google Play áruházban is úgy, hogy játéknak vagy szórakoztató alkalmazásnak álcázzák őket. A már meglévő népszerű alkalmazások frissítésekor is települhetnek, esetenként pedig előre telepítették őket az új mobileszközökre. Azok vannak a legnagyobb kockázatnak kitéve, akik az Android OS 4.4.4.-et vagy az operációs rendszer egy korábbi verziót használják.
11 olyan mobil trójait ismerünk, amely root jogosultságokat használ. Ezek közül három, a Ztorg, a Gorpo és a Leech együttműködik egymással. Az ilyen trójaikkal megfertőzött eszközök általában hálózatba szervezik magukat egyfajta reklám botnetet alkotva, amelyet a hackerek különféle adware-ek telepítésére használnak.
Röviddel azután, hogy rootolják az eszközt a fent említett trójaik letöltenek és telepítenek egy hátsó ajtót, amely utána letölt és aktivál két modult, amely képes letölteni, telepíteni és elindítani alkalmazásokat.
Az alkalmazás betöltő és annak telepítési moduljai különböző trójai vírusokra utalnak, de mindegyik hozzá lett adva az antivírus adatbázisunkhoz ugyanazon név, a Triada alatt.
A megkülönböztető funkciója ennek a vírusnak a Zygote androidos folyamat használata, amely tartalmazza az eszközre telepített minden alkalmazás által használt rendszerkönyvtárakat és keretrendszereket. Más szóval ez egy démon, amelynek célja, hogy Android alkalmazásokat indítson el. Ez egy standard alkalmazásfolyamat, mely minden újonnan telepített alkalmazás esetében működik. Ez azt jelenti, hogy amint bejut a trójai a rendszerbe, az alkalmazásfolyamat részévé válik és előre telepítve lesz minden alkalmazás elindításánál a készüléken, sőt akár meg is változtathatja az alkalmazás működését. Ez az első alkalom, hogy ilyen technológiát észleltünk.
Ennek a malware-nek nagyon fejlettek a lopakodó képességei. Miután megfertőzte a felhasználó készülékét, a Triada majdnem az összes munkafolyamatba implementálja magát és megmarad a rövid távú memóriában. Ezért vírusellenes megoldásokkal szinte lehetetlen észlelni és törölni. A Triada észrevétlenül működik, ami azt jelenti, hogy minden kártékony tevékenysége mind a felhasználó, mind más alkalmazások előtt láthatatlan marad.
A Triada trójai bonyolult funkcionalitása azt bizonyítja, hogy a mobil platformot nagyon jól ismerő, komoly szaktudással rendelkező kiberbűnözők állnak a malware mögött.
A Triada képes módosítani a más alkalmazások által kiküldött sms-eket. Ez jelenleg a malware egyik legfontosabb funkciója. Amikor a felhasználó alkalmazásokon belülről fizet androidos játékokért sms-sel, a kiberbűnözők valószínűleg módosítják a kimenő sms-eket, így a játékfejlesztők helyett ők kapják meg a pénzt.
“A Ztrog, Gorpo és Leech hármasa, a Triada trójai az Android alapú fenyegetések fejlődésének új korszakát képviseli. Az első, széles körben elterjedt olyan malware-ek, amelyek a legtöbb eszközön szuper felhasználói jogokat képesek szerezni. A trójaiak által megtámadott felhasználók többsége Oroszországban, Ukrajnában, Indiában és más ázsiai országokban él. Nehéz alábecsülni egy olyan malware fenyegetésének mértékét, amely root jogosultságot szerez a készülékeken. A legnagyobb veszélyt az jelenti, hogy sokkal fejlettebb és károsabb malware-eket képesek telepíteni a megfertőzött készülékekre. Ráadásul jól megtervezett struktúrával rendelkeznek, amelyet a mobil platformokat mélyrehatóan ismerő kiberbűnözők fejlesztettek ki.” – mondta Nikita Buchka, a Kaspersky Lab malware elemzője.
Mivel szinte lehetetlen ezen malware-ek eltávolítása a készülékekről, a felhasználóknak két lehetőségük van, hogy megváljanak tőlük örökké. Az egyik a készülék rootolása és a malware manuális törlése. A második az Android rendszer jailbreakelése az eszközön.
A Kaspersky Lab termékei felismerik a Triada trójai vírus alkotóelemeit, amelyek a következők: Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.
