Nevidljiv je, modularan i uporan, a napisali su ga jako profesionalni cyberkriminalci. Pod najvećim su rizikom uređaji koji vrte 4.4.4 i ranije verzije Android OS-a.
Gotovo polovica top 20 Trojanaca iz 2015. bili su zloćudni programi sa sposobnošću da dobiju pristupna prava super-korisnika. Ta prava daju cyberkriminalcima pravo da instaliraju aplikacije na mobitel bez korisnikova znanja.
Ovaj se tim malvera širi preko aplikacija koje korisnici skidaju s naprovjerenih izvora. Aplikacije se ponekad mogu naći i na službenoj trgovini Google Play, maskirane kao igra ili neka druga zabavna aplikacija. Mogu biti instalirane i tijekom ažuriranja postojeće popularne aplikacije a ponekad su čak i unaprijed instalirane u uređaj.
Postoji 11 znanih obitelji mobilnih Trojanaca koji koriste root privilegije. Tri od njih, Ztorg, Gorpo i Leech, surađuju međusobno. Uređaji zarađeni s tim Trojancima obično se organiziraju u mreže, stvarajući neku vrstu reklamnog botneta koji kriminalci mogu instaliraliti razni advare. Ali to nije sve…
Ubrzo nakon što rootaju uređaj, ovi će Trojanci skinuti i instalirati stražnji ulaz. Zatim se skinu i aktiviraju dva modula koji imaju mogućnost daljnjeg skidanja, instaliranja i pokretanja aplikacija.
Učitavač aplikacija i njegovi moduli za instalaciju pripadaju drugim vrstama Trojanaca, ali svi su dodani u antivirusnu bazu podataka pod zajedničkim imenom – Trijade.
Pristup roditeljskom procesu Androida
Karakteristika ovog malvera korišćenje je Zigote, roditelja aplikacijskog procesa na Android uređaju, koja sadrži sistemske knjižnice i okvir koji koristi svaka aplikacija instalirana na uređaj. Drugim riječima, radi se o demonu čija je svrha pokretanje Android aplikacija. To je standardni proces koji radi za svaku novoinstaliranu aplikaciju. To znači da čim Trojanac uđe u sustav, postane dio aplikacijskog procesa i biti će automatski instaliran na svaku aplikaciju koja se pokreće s tog uređaja, a čak može promijeniti i logiku operacija aplikacije.
Ovo je prvi put da je takva tehnologija viđena u praksi. Prije ovog Trojanca Zigota je bila znana samo kao koncept za dokazivanje.
Ovaj je virus izrazito težak za otkriti. Nakon što uđe u korisnikov uređaj Trijada se ugradi u gotovo svaki radni proces i nastavlja živjeti u kratkotrajnoj memoriji. Zbog toga ju je gotovo nemoguće otkriti i izbrisati pomoću antivirusnih rješenja. Trijada djeluje tiho, što znači da su sve zloćudne aktivnosti skrivene i od korisnika i od drugih aplikacija.
Kompleksnost funkcionalnosti Trijada Trojanaca dokazuje su iza njih stoje jako profesinalni cyberkriminalci s dubokim razumijevanjem ciljane mobilne platforme.
Poslovni model Trijade
Trojanac Trijada može modificirati odlazeće SMS poruke koje šalju druge aplikacije. To je trenutno glavna aktivnost ovog malvera. Kada korisnik obavlja kupovinu unutar aplikacije preko SMS-a za Android igre, kriminalci će vjerojatno modificirati izlaznu SMS poruku tako da oni dobiju novac umjesto autora igre.
“Trijada Ztorg, Gorpo i Leech označava novi korak u evoluciji prijetnji za Android. Oni su prvi širom rašireni malver s potencijalom da si povećaju privilegije na većini uređaja. Većina korisnika koje su napali ovi Trojanci nalazi se u Rusiji, Indiji i Ukrajini i dalekoistočnim zemljama. Teško je potcijeniti prijetnju zloćudne aplikacije koja ima root pristup uređaju. Njihova j glavna prijetnja to što osiguravaju pristup puno opasnijim i naprednijim zloćudnim aplikacijama. Usto imaju i dobro smišljenu arhitekturu koju su razvili kriminalci koji imaju duboko znanje o ciljanoj mobilnoj platformi”, izjavio je Nikita Bučka, niži analitičar u Kaspersky Labu.
Kako je praktički nemoguće deinstalirati ove Trojance s uređaja, korisnici imaju dvije mogućnosti. Prva je da i sami rootaju uređaj i ručno izbrišu zloćudnu aplikaciju. Druga je jailbreak Android operativnog sustava.