Дослідники Check Point виявили нові версії сумнозвісного шкідливого ПО для мобільних пристроїв Triada і Horde. За словами експертів, Android-трояни отримали ряд нових функцій, в тому числі здатність обходити механізми захисту Google в деяких версіях ОС.

Новий варіант Triada здатний заражати браузер, за замовчуванням встановлений на Android-пристрої, а також браузери 360 Secure, Cheetah і Oupeng. Інфікувавши систему, троян перехоплює запити URL. У разі, якщо користувач потрапив на один з певних сайтів, шкідливий відображає підроблену сторінку, створену зловмисниками для викрадення даних банківських карт.

До недавнього часу головною функцією шкідливого ПО Triada було викрадення грошей через SMS-повідомлення, коли жертва здійснювала покупки всередині додатків. Однак нова версія трояна здатна перехоплювати URL-адреси на інфікованому пристрої, заманювати нічого не підозрюють користувачів на підроблені сторінки, виманювати у них дані платіжних карт і навіть обманним шляхом змушувати їх завантажувати додаткове шкідливе ПЗ.

Дослідження Check Point доповнює звіт «Лабораторії Касперського», що описує можливості оновленого трояна. Експерти також оновили наявні у них відомості про шкідливі програми для Android-пристроїв під назвою Horde. Шкідливий заражає додатки в Google Play, такі як Viking Jump, Parrot Copter, Memory Booster, Simple 2048 і WiFi Plus.

За словами дослідників, за допомогою нової техніки обходу виявлення нова версія Horde здатна здійснювати моніторинг поточних процесів в Android Lollipop і Marshmallow.

Як пояснив експерт Check Point Орен Коріат (Oren Koriat), для запобігання подібної активності Google заблокувала для додатків можливість викликати getRunningTasks () API. Horde обходить цей захід безпеки, так як дізнається про поточних процесах за допомогою файлової системи "/ proc /".

В інтерв'ю виданню Threatpost дослідник Check Point Деніел Пардон (Daniel Pardon) повідомив, що така техніка є новою і раніше не зустрічалася. На його думку, незабаром подібна функція з'явиться і у інших зразків шкідливого ПО.