Новую версию вредоносного ПО для мобильных устройств Triada и Horde обнаружили специалисты Check Point. Теперь Android-трояны имеют ряд новых функций, среди которых способность обходить механизмы защиты Google в некоторых версиях ОС.
Теперь Triada способен заражать браузер, который по умолчанию установлен на устройстве, а также браузеры 360 Secure, Cheetah и Oupeng. Инфицировав систему, троян перехватывает запросы URL. Если пользователь попал на один из определенных сайтов, вредонос отображает поддельную страницу, созданную злоумышленниками для похищения данных банковских карт.
До недавнего времени главной функцией вредоносного ПО Triada было похищение денег через SMS-сообщения, когда жертва осуществляла покупки внутри приложений. Однако новая версия способна перехватывать URL-адреса на инфицированном устройстве, заманивать ничего не подозревающих пользователей на поддельные страницы, выманивать у них данные платежных карт и даже обманным путем заставлять их загружать дополнительное вредоносное ПО.
По сообщению специалистов, вредонос заражает приложения в Google Play: Viking Jump, Parrot Copter, Memory Booster, Simple 2048 и WiFi Plus.
С помощью новой техники обхода обнаружения новая версия Horde способна осуществлять мониторинг текущих процессов в Android Lollipop и Marshmallow. Как пояснил эксперт Check Point Орен Кориат (Oren Koriat), для предотвращения подобной активности Google заблокировала для приложений возможность вызывать getRunningTasks() API. Horde обходит эту меру безопасности, так как узнает о текущих процессах с помощью файловой системы “/proc/”.
Теперь Triada способен заражать браузер, который по умолчанию установлен на устройстве, а также браузеры 360 Secure, Cheetah и Oupeng. Инфицировав систему, троян перехватывает запросы URL. Если пользователь попал на один из определенных сайтов, вредонос отображает поддельную страницу, созданную злоумышленниками для похищения данных банковских карт.
До недавнего времени главной функцией вредоносного ПО Triada было похищение денег через SMS-сообщения, когда жертва осуществляла покупки внутри приложений. Однако новая версия способна перехватывать URL-адреса на инфицированном устройстве, заманивать ничего не подозревающих пользователей на поддельные страницы, выманивать у них данные платежных карт и даже обманным путем заставлять их загружать дополнительное вредоносное ПО.
По сообщению специалистов, вредонос заражает приложения в Google Play: Viking Jump, Parrot Copter, Memory Booster, Simple 2048 и WiFi Plus.
С помощью новой техники обхода обнаружения новая версия Horde способна осуществлять мониторинг текущих процессов в Android Lollipop и Marshmallow. Как пояснил эксперт Check Point Орен Кориат (Oren Koriat), для предотвращения подобной активности Google заблокировала для приложений возможность вызывать getRunningTasks() API. Horde обходит эту меру безопасности, так как узнает о текущих процессах с помощью файловой системы “/proc/”.
