«Лаборатория Касперского» сообщила об обнаружении уникального Android-вируса Triada. Специалисты отнесли его в категорию самых технически сложных вирусов за все время работы компании. Основная особенность вредоносной программы заключается в способности встраиваться в процесс Zygote, который играет роль шаблона для всех программ в Android.
В отчете отмечается, что мобильные угрозы по функционалу практически вплотную приблизились к вирусам, которые атакуют обычные ПК. Triada – первая троянская программа, которая способна осуществлять успешные атаки на системный процесс Zygote. Ранее такая возможность рассматривалась только как теория. Zygote содержит фреймворки и библиотеки, которые активно используют практически все программы, выполняя роль своеобразного шаблона. После успешной атаки вредоносное приложение внедряется в данный шаблон, что позволяет ему незаметно проникнуть во все программы на инфицированном устройстве и изменить алгоритм их работы.
Triada имеет модульную структуру. В процессе атаки основной загрузчик устанавливает на устройство нужные модули, обеспечивая необходимый злоумышленникам функционал. Троянская программа успешно скрывает свои компоненты из перечня установленных программ, а также из списка активных сервисов. Все вредоносные файлы хранятся в системных каталогах, доступ к ним Triada получает благодаря получению прав суперпользователя.
Хотя возможности троянской программы велики, пока Triada используется в основном для похищения средств во время внутри-игровых покупках при помощи SMS. Утилита фильтрует, перехватывает и редактирует сообщения, изменяя получателя.
Специалисты отмечают, что вредоносная программа, вероятнее всего, разработана злоумышленниками, которые очень хорошо разбираются в платформе Android. Набор используемых технологий ранее не встречался в других изученных вирусах. Используемые алгоритмы сокрытия позволяют вирусу эффективно скрываться от пользователя и антивирусных программ, а также предотвращать полное удаление вредоносного кода. Модульная структура позволяет хакерам настраивать функциональность вируса под свои потребности. Способность проникать во все программы также расширяет сферу применения Triada, предоставляя новые векторы атаки.