Backdoor.AndroidOS.Triada le da privilegios de root a sí mismo y a otros troyanos que descarga, con el fin de realizar cambios en los archivos del sistema. El malware envía información sobre el dispositivo infectado a un servidor remoto de comando y control y descarga un archivo de configuración, que contiene la identificación de la computadora infectada y la configuración. La función principal del troyano es redirigir las transacciones de SMS financieras cuando el usuario realiza pagos en línea para comprar contenido adicional en aplicaciones legítimas. En lugar de enviarlo al desarrollador del contenido adicional, el dinero se envía a los delincuentes. Algunas versiones del troyano modifican el proceso de Zygote. Este proceso es uno de los procesos centrales en los dispositivos Android. Contiene bibliotecas del sistema y marcos que utilizan todas las aplicaciones en el dispositivo, y es la base para todas las demás aplicaciones. La parte principal de Backdoor.AndroidOS.Triada reside solo en la memoria RAM del dispositivo, lo que hace que el troyano sea muy difícil de detectar. Además, todos los procesos troyanos que se inician por separado están ocultos para el usuario y otras aplicaciones.
El fabricante de seguridad informática Kaspersky Lab ha descubierto Triada, un nuevo troyano dirigido a dispositivos Android comparable, por su complejidad, con el malware basado en Windows.
Es sigiloso, modular, persistente y creado por ciberdelincuentes muy profesionales. Los dispositivos que ejecutan la versión de Android 4.4.4. y anteriores son los que presentan mayor riesgo de infección.
Según el reciente informe Mobile Virusology de Kaspersky Lab, casi la mitad del Top 20 de los troyanos de 2015 eran programas maliciosos con capacidad para robar los derechos de acceso de superusuario, es decir, que dan a los cibercriminales la posibilidad de instalar las aplicaciones en el teléfono sin el conocimiento del usuario. Este tipo de malware se propaga a través de aplicaciones que los usuarios se descargan/instalan de fuentes no fiables. Otras veces, estas aplicaciones se pueden encontrar en la tienda oficial Google Play y se hacen pasar por una aplicación de juego o entretenimiento. También se pueden instalar durante la actualización de las aplicaciones, incluso en las que están preinstaladas en el dispositivo móvil.
Existen 11 familias de troyanos móviles conocidos que utilizan los privilegios de root. Tres de ellos – Ztorg, Gorpo y Leech – actúan en cooperación con los demás. Normalmente, los dispositivos infectados con estos troyanos se organizan en una red, creando una especie de red de bots de publicidad que los agentes pueden utilizar para instalar diferentes tipos de programas publicitarios. Pero eso no es todo, poco después de rootear el dispositivo, los troyanos descargan e instalan un backdoor. Esta descarga activa dos módulos que tienen la capacidad de descargar, instalar y ejecutar aplicaciones.
El cargador de aplicaciones y sus módulos de instalación se refieren a diferentes tipos de troyanos, pero todos ellos se han añadido a las bases de datos antivirus de Kaspersky Lab bajo un nombre común – Triada.
Una característica distintiva de este malware es el uso de Zygote – el creador del proceso de aplicaciones en un dispositivo Android – que contiene bibliotecas del sistema y los marcos utilizados por cada aplicación instalada en el dispositivo. En otras palabras, es un “demonio” cuyo objetivo es poner en marcha aplicaciones de Android y esto significa que tan pronto como el troyano entra en el sistema, se convierte en parte del proceso de aplicación y puede incluso cambiar la lógica de todas sus operaciones.
Las prestaciones de este malware son muy avanzadas. Tras entrar en el dispositivo del usuario, Triada se implementa en casi todos los procesos de trabajo y sigue existiendo en la memoria a corto plazo. Esto hace que sea casi imposible de detectar y eliminar. Triada opera en silencio, lo que significa que todas las actividades maliciosas están ocultas tanto desde el usuario como desde otras aplicaciones.
Por la complejidad de la funcionalidad del troyano es evidente que los cibercriminales que están detrás de este malware son muy profesionales, con un profundo conocimiento de la plataforma móvil.
