Triada: crime organizado ataca o Android

Nas guerras que aprendemos na aula de história, antes da era do cibercrime, os exércitos não se moviam imprudentemente. Os batedores iam na frente, para se certificar de que tudo

Nas guerras que aprendemos na aula de história, antes da era do cibercrime, os exércitos não se moviam imprudentemente. Os batedores iam na frente, para se certificar de que tudo estava conforme o planejado. Somente após essa verificação que as tropas seguiam seu curso. Os Trojans de hoje parecem se comportar da mesma forma.

Diversos pequenos Trojans para Android são capazes de obter acesso a raiz (root) por meio de acessos privilegiados. Os analistas de malwares Nikita Buchka e Mikhail Kuzin podem nomear 11 famílias desse tipo sem esforço. A maioria deles é inofensiva, pois se limitam a inundar o sistema de propagandas e baixar outros Trojans semelhantes. Para saber mais, sugerimos o artigo do Securelist feito por nossos pesquisadores.

Continuando a analogia dos exércitos, esses são os batedores. Ao ganhar acesso root, tornam-se capazes de baixar e instalar outros aplicativos. Nossos pesquisadores apontam que eles poderiam ser usados para infectar o dispositivo com malwares bem mais perigosos.
É isso que vem acontecendo. Pequenos Trojans como Leech, Ztorg e Gopro instalam um dos Trojans mobile mais sofisticados já encontrado por nossos analistas – o Triada.

É um Trojan modular que utiliza o acesso raiz para substituir arquivos de sistema. Ele permanece na RAM do dispositivo, o que o torna extremamente difícil de ser detectado.

Os métodos do Triada
Uma vez no sistema, o Triada coleta informações como modelo do dispositivo, versão do sistema operacional, espaço disponível no cartão SD, lista de aplicativos instalados etc. A partir daí, esses dados são enviados para o servidor de Comando & Controle. Detectamos um total de 17 servidores C&C em 4 domínios diferentes, o que indica que os criminosos conhecem bem o conceito de redundância.

O C&C responde com um arquivo de configuração com um número de identificação único para o dispositivo e outras configurações: o intervalo de tempo gasto no contato com o servidor, a lista de módulos a serem instalados, entre outros. Uma vez instalados, esses módulos são fixados na memória de curta duração e deletados do armazenamento do dispositivo, o que torna o Trojan mais difícil de ser detectado.

O que mais impressionou nossos pesquisadores sobre o Triada foram dois aspectos em particular. Primeiro, ele modifica o processo Zygote. Ele é usado pelo Android como molde para todos os aplicativos. Uma vez que o Trojan invade o Zygote, torna-se parte de literalmente todos os aplicativos executados no dispositivo.

Em segundo lugar, ele substitui funções do sistema e oculta seus módulos da lista de processos em execução e aplicativos instalados. Com isso, o sistema não nota nenhum processo estranho rodando e não dispara nenhum alarme.

O Triada não se limita a modificar funções do sistema. Nossos pesquisadores descobriram que ele sequestra os SMSs a caminho do aparelho, filtrando os que de fato alcançaram o destino. É dessa forma que os criminosos decidiram lucrar com o aplicativo.

Alguns programas utilizam SMSs para processar compras no aplicativo. Os dados da transação são transferidos por meio de uma curta mensagem de texto. A razão dessa escolha, no lugar de meios de pagamento tradicionais, é que para pagamentos por SMS nenhuma conexão com a internet é necessária. Os usuários não notam o que está acontecendo, pois a transação é processada não por SMS, mas sim pelo aplicativo que a iniciou -um jogo por exemplo.

O Triada ainda permite que essas mensagens sejam modificadas, então o dinheiro que deveria ir para o desenvolvedor do aplicativo termina nas mãos dos bandidos. O Trojan rouba dinheiro do usuário, caso ele não tenha sucesso ao completar a compra. Ou dos desenvolvedores do aplicativo, caso finalize a transação.

Até agora essa foi a única forma pela qual os cibercriminosos conseguiram lucrar com o Triada. Tenha em mente que ele é um Trojan modular, então pode se tornar literalmente qualquer coisa com um único comando do servidor de C&C.

Combatendo o crime organizado no seu celular
Um dos grandes problemas do Triada é o potencial para atingir muitos usuários. Como dissemos, ele é baixado e instalado por Trojans menos agressivos que tiram vantagem dos privilégios de acesso. Nossos pesquisadores estimam que cada 1 em 10 usuários de Android foram atacados por um desses Trojans durante a segunda metade de 2015. Dessa forma, há milhões de dispositivos com grande possibilidade de estarem infectados pelo Triada.

O que você pode fazer para se proteger?
1. Nunca deixe de atualizar seu sistema operacional. Esses Trojans menores não conseguem obter acesso raiz no Android 4.4.4. ou superior, já que muita vulnerabilidades foram corrigidas nessas versões. Caso você tenha essa versão, ou alguma mais recente, suas chances de ser infectado pelo Triada caem significativamente. O problema é que por volta de 60% dos usuários ainda usam o Android 4.4.2 ou inferior.

2. Mesmo que você tenha a versão mais recente do sistema operacional, melhor não arriscar. Recomendamos que você instale uma solução antivírus no seu Android. O Kaspersky Internet Security para Android detecta todos os três módulos do Triada e consegue proteger seu dinheiro dos cibercriminosos responsáveis pelo Trojan. Não se esqueça que as verificações não são automáticas na versão gratuita.

No fim, o Triada é outro exemplo de uma tendência problemática: desenvolvedores de malware estão levando o Android bem a sério, as últimas amostras eram tão complexas e difíceis de combater quanto a da versão para Windows. A melhor forma de se proteger de todas essas ameaças é ser precavido e ter ao seu lado uma boa solução de segurança.

Dicas