จากผลการวิจัยล่าสุดของแคสเปอร์สกี้ แลป เรื่อง "Mobile malware evolution 2015" พบว่า โทรจันยอดฮิต 20 รายการในปี 2015 นั้น จำนวนเกือบครึ่งเป็นมัลแวร์ที่มีความสามารถในการแอคเซสข้อมูลแบบซุปเปอร์ยูสเซอร์ ซึ่งจะให้สิทธิ์แก่โจรไซเบอร์ในการติดตั้งแอพพลิเคชั่นบนมือถือโดยที่เจ้าของไม่รู้ตัว
มัลแวร์ประเภทนี้จะแพร่กระจายผ่านแอพพลิเคชั่นที่ผู้ใช้งานดาวน์โหลดหรือติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ บางครั้งแอพพลิเคชั่นเหล่านี้ก็พบได้ในแอพสโตร์ของกูเกิ้ล แฝงตัวมาในรูปของเกมและแอพบันเทิง อาจติดตั้งลงเครื่องระหว่างการอัพเดทแอพอื่นๆ และอาจติดตั้งไว้ในเครื่องไว้ก่อนแล้ว
โมบายโทรจันที่มีสิทธิ์เข้าถึงรูทได้ มีทั้งหมด 11 ตระกูล โดยมี 3 ตระกูล คือ Ztorg, Gorpo และ Leech ที่ทำงานร่วมกัน ดีไวซ์ที่ติดเชื้อโทรจันเหล่านี้จะแอคเซสเน็ตเวิร์ก และสร้างบ็อตเน็ตสำหรับติดตั้งแอดแวร์
นอกจากนี้ เมื่อทำการรูทเครื่องแล้ว โทรจันจะดาวน์โหลดและติดตั้งแบ็คดอร์ จากนั้นจะดาวน์โหลดและเปิดใช้งานโมดูล 2 รายการ ที่มีความสามารถในการดาวน์โหลด ติดตั้ง และเปิดแอพพลิเคชั่นได้เอง
แอพพลิเคชั่นโหลดเดอร์และโมดูลในการติดตั้งจะแตกต่างกันไปตามโทรจันแต่ละตัว แต่รายการทั้งหมดนี้ถูกเพิ่มเข้าในดาต้าเบสแอนตี้ไวรัสภายใต้ชื่อ "ไทรอาด้า"
เข้าถึงกระบวนการแม่ของแอนดรอยด์
ฟีเจอร์ที่น่าสนใจของมัลแวร์นี้ คือการใช้งาน Zygote ซึ่งเป็นกระบวนการแม่ของแอพพลิเคชั่นในดีไวซ์ระบบแอนดรอยด์ ประกอบด้วยข้อมูลระบบและขอบข่ายงานของแอพพลิเคชั่นทุกตัวที่ติดตั้งในดีไวซ์ กล่าวคือ Zygote คือตัวเปิดใช้งานแอพพลิเคชั่น เป็นขั้นตอนมาตรฐานของแอพในการทำงาน ซึ่งกล่าวได้ว่า หากโทรจันเข้าสู่ระบบ จะกลายเป็นส่วนหนึ่งของกระบวนการทำงานของแอพและสามารถเปลี่ยนแปลงการทำงานของแอพพลิเคชั่นได้ตามต้องการ
ก่อนหน้านี้ เทคโนโลยีนี้เป็นแค่เพียงแนวคิดเท่านั้น โทรจันไทรอาด้าจึงนับเป็นมัลแวร์ตัวแรกที่สามารถปฏิบัติการเช่นนี้ได้
มัลแวร์ตัวนี้มีความสามารถในการหลบซ่อนขั้นสูง ไทรอาด้าจะเข้าระบบการทำงานและฝังตัวในหน่วยความจำสั้นของดีไวซ์ ทำให้ใช้โซลูชั่นแอนตี้ไวรัสตรวจจับและการลบได้ยากขึ้น ไทรอาด้าปฏิบัติงานเงียบๆ ซ่อนตัวหลบไม่ให้ผู้ใช้งานและแอพพลิเคชั่นอื่นๆ ตรวจพบ
รูปแบบการทำงานของไทรอาด้า
โทรจันไทรอาด้าสามารถดัดแปลงข้อความ SMS ที่ส่งออกโดยแอพพลิเคชั่นอื่น ซึ่งนับเป็นฟังก์ชั่นใหม่ของมัลแวร์เลยทีเดียว เมื่อผู้ใช้งานทำการซื้อขายผ่านแอพเกมด้วย SMS โจรไซเบอร์จะแก้ไขข้อมูลเพื่อรับเงินแทนเจ้าของเกมตัวจริง
"โทรจัน Ztorg, Gorpo และ Leech ของไทรอาด้า สร้างมิติใหม่ของวิวัฒนาการของภัยคุกคามแอนดรอยด์ เป็นมัลแวร์กลุ่มแรกที่แพร่กระจายเพื่อหวังผลการเพิ่มสิทธิพิเศษในดีไวซ์ ผู้ใช้ส่วนใหญ่ที่ถูกโจมตีมีภูมิลำเนาอยู่ที่รัสเซีย อินเดีย ยูเครน รวมถึงประเทศต่างๆ ในเอเชียแปซิฟิก มัลแวร์นี้สร้างขึ้นโดยอาชญากรไซเบอร์ที่มีความรู้ความเชี่ยวชาญด้านแพลตฟอร์มโมบายเป็นอย่างดี การคุกคามดีไวซ์ในขั้นแรกนี้ ก็เพื่อต้องการเข้าถึงดีไวซ์โดยใช้แอพพลิเคชั่นร้ายที่มีความซับซ้อนและรุนแรงมากยิ่งขึ้นอีก จึงไม่ควรมองข้ามอันตรายของมัน" นิกิต้า บุชก้า นักวิเคราะห์มัลแวร์ แคสเปอร์สกี้ แลป
การถอนการติดตั้งมัลแวร์ออกจากเครื่องทำได้ยากมาก ผู้ใช้งานมีทางเลือกในการกำจัดมัลแวร์แค่สองทาง นั่นคือ การรูทดีไวซ์และลบแอพพลิเคชั่นร้ายด้วยตนเอง และการเจลเบรคระบบแอนดรอยด์ของดีไวซ์
ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับไทรอาด้าได้ในชื่อ Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.
ข้อมูลเพิ่มเติม
• Attack on Zygote: a new twist in the evolution of mobile threats
https://securelist.com/analysis/publications/74032/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats
• Mobile malware evolution 2015
https://securelist.com/analysis/kaspersky-security-bulletin/73839/mobile-malware-evolution-2015/