Szkodniki tego typu rozprzestrzeniają się za pośrednictwem aplikacji pobieranych z niezaufanych źródeł. Można się na nie natknąć także w oficjalnym sklepie Google Play, gdzie podszywają się pod gry lub aplikacje związane z rozrywką. W niektórych przypadkach trojany dostają się do systemu podczas aktualizacji istniejących popularnych aplikacji, a w pewnych okolicznościach mogą być preinstalowane na urządzeniach mobilnych. Najbardziej zagrożone są urządzenia działające pod kontrolą systemu Android w wersji 4.4.4 lub starszej.
Obecnie znanych jest 11 rodzin trojanów mobilnych, które wykorzystują przywileje na poziomie administratora. Trzy z nich – Ztorg, Gorpo oraz Leech – współdziałają ze sobą. Zainfekowane tymi trojanami urządzenia zwykle organizują się w sieć, tworząc swego rodzaju botnet reklamowy, który może zostać wykorzystany przez cyberprzestępców do instalowania różnych rodzajów oprogramowania adware. Ale to nie wszystko…
Niedługo po uzyskaniu praw administratora do urządzenia wspomniane trojany pobierają i instalują oprogramowanie otwierające tylną furtkę. Następnie szkodnik aktywuje dwa moduły, które potrafią pobierać, instalować i uruchamiać aplikacje.
Program ładujący aplikacje oraz moduły instalacji odnoszą się do różnych rodzajów trojanów, ale wszystkie z nich zostały dodane do antywirusowych baz danych Kaspersky Lab pod wspólną nazwą – Triada.
Triada charakteryzuje się zaawansowanymi możliwościami ukrywania się. Po wniknięciu do urządzenia użytkownika trojan dodaje się do niemal każdego procesu roboczego i egzystuje w pamięci krótkoterminowej. Z tego powodu wykrycie go i usunięcie przy użyciu rozwiązań antywirusowych jest prawie niemożliwe. Triada działa ukradkowo, co oznacza, że wszystkie szkodliwe działania są ukryte zarówno przed użytkownikiem, jak i innymi aplikacjami.
Złożona funkcjonalność Triady świadczy o tym, że za szkodnikiem stoją bardzo zaawansowani cyberprzestępcy, posiadający dogłębną wiedzę na temat atakowanej platformy mobilnej.
Trojan Triada potrafi modyfikować wiadomości SMS wysyłane przez inne aplikacje. Obecnie jest to główna funkcjonalność tego szkodnika. Gdy użytkownik dokonuje zakupów za pośrednictwem SMS-ów wewnątrz gier w systemie Android, oszuści mogą zmodyfikować wychodzące wiadomości tak, aby pieniądze trafiły do nich zamiast do twórców gry.
Odinstalowanie tego szkodliwego oprogramowania z zainfekowanego urządzenia wymaga uzyskania dostępu na poziomie administratora i ręcznego usunięcia plików trojana.
Źródło: Kaspersky Lab