CIBERSEGURIDAD

Triada: un troyano móvil que invade los cerebros de Android

0 68 3 minutos de lectura


Los expertos de Kaspersky Lab han detectado Triada, un nuevo troyano dirigido a dispositivos Android que se puede comparar con el malware basado en Windows en términos de su complejidad. Es sigiloso, modular, persistente y escrito por ciberdelincuentes muy profesionales. Dispositivos que ejecutan 4.4.4. y las versiones anteriores del sistema operativo Android corren el mayor riesgo.
Según la reciente investigación de Kaspersky Lab sobre Virusología móvil, casi la mitad de los 20 principales troyanos en 2015 eran programas maliciosos con la capacidad de obtener derechos de acceso de superusuario. Los privilegios de superusuario otorgan a los ciberdelincuentes los derechos para instalar aplicaciones en el teléfono sin el conocimiento del usuario.
Este tipo de malware se propaga a través de aplicaciones que los usuarios descargan / instalan de fuentes que no son de confianza. Estas aplicaciones a veces se pueden encontrar en la tienda oficial de aplicaciones de Google Play, disfrazadas de una aplicación de juegos o entretenimiento. También se pueden instalar durante una actualización de aplicaciones populares existentes y, en ocasiones, se preinstalan en el dispositivo móvil. Entre los que corren mayor riesgo se encuentran los dispositivos que ejecutan 4.4.4. y versiones anteriores del sistema operativo Android.
Hay once familias conocidas de troyanos móviles que utilizan privilegios de root. Tres de ellos, Ztorg, Gorpo y Leech, actúan en cooperación entre sí. Los dispositivos infectados con estos troyanos generalmente se organizan en una red, creando una especie de botnet publicitario que los actores de amenazas pueden usar para instalar diferentes tipos de adware. Pero eso no es todo…
Poco después de rootear el dispositivo, los troyanos mencionados anteriormente descargan e instalan una puerta trasera. Esto luego descarga y activa dos módulos que tienen la capacidad de descargar, instalar y ejecutar aplicaciones.
El cargador de aplicaciones y sus módulos de instalación hacen referencia a diferentes tipos de troyanos, pero todos ellos se han agregado a nuestras bases de datos antivirus con un nombre común: Triada.
Entrar en el proceso parental de Android
Una característica distintiva de este malware es el uso de Zygote, el padre del proceso de aplicación en un dispositivo Android, que contiene las bibliotecas del sistema y los marcos utilizados por todas las aplicaciones instaladas en el dispositivo. En otras palabras, es un demonio cuyo propósito es lanzar aplicaciones de Android. Este es un proceso de aplicación estándar que funciona para todas las aplicaciones recién instaladas. Significa que tan pronto como el troyano ingresa al sistema, se convierte en parte del proceso de la aplicación y se preinstalará en cualquier aplicación que se inicie en el dispositivo e incluso puede cambiar la lógica de las operaciones de la aplicación.
Esta es la primera vez que se ve una tecnología como esta en la naturaleza. Antes de esto, un troyano que usaba Zygote solo se conocía como una prueba de concepto.
Las capacidades de sigilo de este malware son muy avanzadas. Después de ingresar al dispositivo del usuario, Triada se implementa en casi todos los procesos de trabajo y continúa existiendo en la memoria a corto plazo. Esto hace que sea casi imposible de detectar y eliminar utilizando soluciones antimalware. Triada opera silenciosamente, lo que significa que todas las actividades maliciosas están ocultas, tanto del usuario como de otras aplicaciones.
La complejidad de la funcionalidad del troyano Triada demuestra el hecho de que los ciberdelincuentes muy profesionales, con un profundo conocimiento de la plataforma móvil objetivo, están detrás de la creación de este malware.
Modelo de negocio de Triada
El troyano Triada puede modificar los mensajes SMS salientes enviados por otras aplicaciones. Esta es ahora una de las principales funciones del malware. Cuando un usuario realiza compras dentro de la aplicación a través de SMS para juegos de Android, es probable que los estafadores modifiquen los SMS salientes para que reciban el dinero en lugar de los desarrolladores del juego.
«La Triada de Ztrog, Gorpo y Leech marca una nueva etapa en la evolución de las amenazas basadas en Android. Son el primer malware generalizado con el potencial de aumentar sus privilegios en la mayoría de los dispositivos. La mayoría de los usuarios atacados por los troyanos estaban ubicados en Rusia, India y Ucrania, así como en los países de APAC. Es difícil subestimar la amenaza de que una aplicación maliciosa obtenga acceso de root a un dispositivo. Su principal amenaza, como muestra el ejemplo de Triada, está en el hecho de que brindan acceso al dispositivo para aplicaciones maliciosas mucho más avanzadas y peligrosas. También tienen una arquitectura bien pensada desarrollada por ciberdelincuentes que tienen un conocimiento profundo de la plataforma móvil de destino «. dijo Nikita Buchka, analista junior de malware, Kaspersky Lab.
Como es casi imposible desinstalar este malware de un dispositivo, los usuarios se enfrentan a dos opciones para deshacerse de él. La primera es «rootear» su dispositivo y eliminar las aplicaciones maliciosas manualmente. La segunda opción es hacer jailbreak al sistema Android del dispositivo.

Publicaciones relacionadas

Una encuesta mundial revela el impacto de la disminución de la confianza en Internet en el comercio electrónico

El 50 por ciento de los estadounidenses no confía en las instituciones para proteger sus datos

BSides London anuncia la primera conferencia magistral

Manteniendo las luces encendidas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar