Исследователи Check Point обнаружили новые версии печально известного вредоносного ПО для мобильных устройств Triada и Horde. По словам экспертов, Android-трояны получили ряд новых функций, в том числе способность обходить механизмы защиты Google в некоторых версиях ОС. Новый вариант Triada способен заражать браузер, по умолчанию установленный на Android-устройстве, а также браузеры 360 Secure, Cheetah и Oupeng. Инфицировав систему, троян перехватывает запросы URL. В случае, если пользователь попал на один из определенных сайтов, вредонос отображает поддельную страницу, созданную злоумышленниками для похищения данных банковских карт. До недавнего времени главной функцией вредоносного ПО Triada было похищение денег через SMS-сообщения, когда жертва осуществляла покупки внутри приложений. Однако новая версия трояна способна перехватывать URL-адреса на инфицированном устройстве, заманивать ничего не подозревающих пользователей на поддельные страницы, выманивать у них данные платежных карт и даже обманным путем заставлять их загружать дополнительное вредоносное ПО. Исследование Check Point дополняет отчет "Лаборатории Касперского", описывающий возможности обновленного трояна. Эксперты также обновили имеющиеся у них сведения о вредоносном ПО для Android-устройств под названием Horde. Вредонос заражает приложения в Google Play, такие как Viking Jump, Parrot Copter, Memory Booster, Simple 2048 и WiFi Plus. По словам исследователей, с помощью новой техники обхода обнаружения новая версия Horde способна осуществлять мониторинг текущих процессов в Android Lollipop и Marshmallow. Как пояснил эксперт Check Point Орен Кориат (Oren Koriat), для предотвращения подобной активности Google заблокировала для приложений возможность вызывать getRunningTasks() API. Horde обходит эту меру безопасности, так как узнает о текущих процессах с помощью файловой системы "/proc/". В интервью изданию Threatpost исследователь Check Point Дэниел Пардон (Daniel Pardon) сообщил, что такая техника является новой и ранее не встречалась. По его мнению, в скором времени подобная функция появится и у других образцов вредоносного ПО.
securitylab.ru