{"id":6083,"date":"2016-03-14T23:21:48","date_gmt":"2016-03-14T23:21:48","guid":{"rendered":"https:\/\/kasperskydaily.com\/brazil\/?p=6083"},"modified":"2019-11-22T07:40:26","modified_gmt":"2019-11-22T10:40:26","slug":"triada-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/triada-trojan\/6083\/","title":{"rendered":"Triada: crime organizado ataca o Android"},"content":{"rendered":"<p>Nas guerras que aprendemos na aula de hist\u00f3ria, antes da era do cibercrime, os ex\u00e9rcitos n\u00e3o se moviam imprudentemente. Os batedores iam na frente, para se certificar de que tudo estava conforme o planejado. Somente ap\u00f3s essa verifica\u00e7\u00e3o que as tropas seguiam seu curso. Os Trojans de hoje parecem se comportar da mesma forma. <\/p>\n<p>Diversos pequenos Trojans para Android s\u00e3o capazes de obter acesso a raiz (root) por meio de acessos privilegiados. Os analistas de malwares Nikita Buchka e Mikhail Kuzin podem nomear 11 fam\u00edlias desse tipo sem esfor\u00e7o. A maioria deles \u00e9 inofensiva, pois se limitam a inundar o sistema de propagandas e baixar outros Trojans semelhantes. Para saber mais, sugerimos o <a href=\"https:\/\/securelist.com\/blog\/mobile\/71981\/taking-root\/\" target=\"_blank\" rel=\"noopener noreferrer\">artigo do Securelist<\/a> feito por nossos pesquisadores. <\/p>\n<p>Continuando a analogia dos ex\u00e9rcitos, esses s\u00e3o os batedores. Ao ganhar acesso root, tornam-se capazes de baixar e instalar outros aplicativos. Nossos pesquisadores apontam que eles poderiam ser usados para infectar o dispositivo com malwares bem mais perigosos.<br>\n\u00c9 isso que vem acontecendo. Pequenos Trojans como Leech, Ztorg e Gopro instalam um dos Trojans mobile mais sofisticados j\u00e1 encontrado por nossos analistas \u2013 o Triada. <\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Dangerous trends taking root in <a href=\"https:\/\/twitter.com\/hashtag\/mobile?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#mobile<\/a> phones <a href=\"https:\/\/t.co\/DkLD8KhSuk\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/DkLD8KhSuk<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/research?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#research<\/a> <a href=\"http:\/\/t.co\/wc3NfSSv3Z\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/wc3NfSSv3Z<\/a><\/p>\n<p>\u2014 Securelist (@Securelist) <a href=\"https:\/\/twitter.com\/Securelist\/status\/636925849455996928?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 27, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>\u00c9 um Trojan modular que utiliza o acesso raiz para substituir arquivos de sistema. Ele permanece na RAM do dispositivo, o que o torna extremamente dif\u00edcil de ser detectado.  <\/p>\n<p><strong>Os m\u00e9todos do Triada<\/strong><br>\nUma vez no sistema, o Triada coleta informa\u00e7\u00f5es como modelo do dispositivo, vers\u00e3o do sistema operacional, espa\u00e7o dispon\u00edvel no cart\u00e3o SD, lista de aplicativos instalados etc. A partir da\u00ed, esses dados s\u00e3o enviados para o servidor de Comando &amp; Controle. Detectamos um total de 17 servidores C&amp;C em 4 dom\u00ednios diferentes, o que indica que os criminosos conhecem bem o conceito de redund\u00e2ncia.<\/p>\n<p>O C&amp;C responde com um arquivo de configura\u00e7\u00e3o com um n\u00famero de identifica\u00e7\u00e3o \u00fanico para o dispositivo e outras configura\u00e7\u00f5es: o intervalo de tempo gasto no contato com o servidor, a lista de m\u00f3dulos a serem instalados, entre outros. Uma vez instalados, esses m\u00f3dulos s\u00e3o fixados na mem\u00f3ria de curta dura\u00e7\u00e3o e deletados do armazenamento do dispositivo, o que torna o Trojan mais dif\u00edcil de ser detectado. <\/p>\n<p>O que mais impressionou nossos pesquisadores sobre o Triada foram dois aspectos em particular. Primeiro, ele modifica o processo Zygote. Ele \u00e9 usado pelo Android como molde para todos os aplicativos. Uma vez que o Trojan invade o Zygote, torna-se parte de literalmente todos os aplicativos executados no dispositivo.  <\/p>\n<p><img decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2016\/03\/06135517\/triada-zygote.png\" width=\"2536\" height=\"3304\" class=\"alignnone\"><\/p>\n<p>Em segundo lugar, ele substitui fun\u00e7\u00f5es do sistema e oculta seus m\u00f3dulos da lista de processos em execu\u00e7\u00e3o e aplicativos instalados. Com isso, o sistema n\u00e3o nota nenhum processo estranho rodando e n\u00e3o dispara nenhum alarme. <\/p>\n<p>O Triada n\u00e3o se limita a modificar fun\u00e7\u00f5es do sistema. Nossos pesquisadores descobriram que ele sequestra os SMSs a caminho do aparelho, filtrando os que de fato alcan\u00e7aram o destino. \u00c9 dessa forma que os criminosos decidiram lucrar com o aplicativo. <\/p>\n<p>Alguns programas utilizam SMSs para processar compras no aplicativo. Os dados da transa\u00e7\u00e3o s\u00e3o transferidos por meio de uma curta mensagem de texto. A raz\u00e3o dessa escolha, no lugar de meios de pagamento tradicionais, \u00e9 que para pagamentos por SMS nenhuma conex\u00e3o com a internet \u00e9 necess\u00e1ria. Os usu\u00e1rios n\u00e3o notam o que est\u00e1 acontecendo, pois a transa\u00e7\u00e3o \u00e9 processada n\u00e3o por SMS, mas sim pelo aplicativo que a iniciou -um jogo por exemplo.<\/p>\n<p>O Triada ainda permite que essas mensagens sejam modificadas, ent\u00e3o o dinheiro que deveria ir para o desenvolvedor do aplicativo termina nas m\u00e3os dos bandidos. O Trojan rouba dinheiro do usu\u00e1rio, caso ele n\u00e3o tenha sucesso ao completar a compra. Ou dos desenvolvedores do aplicativo, caso finalize a transa\u00e7\u00e3o.<\/p>\n<p>At\u00e9 agora essa foi a \u00fanica forma pela qual os cibercriminosos conseguiram lucrar com o Triada. Tenha em mente que ele \u00e9 um Trojan modular, ent\u00e3o pode se tornar literalmente qualquer coisa com um \u00fanico comando do servidor de C&amp;C. <\/p>\n<p><strong>Combatendo o crime organizado no seu celular<\/strong><br>\nUm dos grandes problemas do Triada \u00e9 o potencial para atingir muitos usu\u00e1rios. Como dissemos, ele \u00e9 baixado e instalado por Trojans menos agressivos que tiram vantagem dos privil\u00e9gios de acesso. Nossos pesquisadores estimam que cada 1 em 10 usu\u00e1rios de Android foram atacados por um desses Trojans durante a segunda metade de 2015. Dessa forma, h\u00e1 milh\u00f5es de dispositivos com grande possibilidade de estarem infectados pelo Triada.<\/p>\n<p><strong>O que voc\u00ea pode fazer para se proteger?<\/strong><br>\n1. Nunca deixe de atualizar seu sistema operacional. Esses Trojans menores n\u00e3o conseguem obter acesso raiz no Android 4.4.4. ou superior, j\u00e1 que muita vulnerabilidades foram corrigidas nessas vers\u00f5es. Caso voc\u00ea tenha essa vers\u00e3o, ou alguma mais recente, suas chances de ser infectado pelo Triada caem significativamente. O problema \u00e9 que por volta de 60% dos usu\u00e1rios ainda usam o Android 4.4.2 ou inferior. <\/p>\n<p><img decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2016\/03\/06135516\/01_en.png\" width=\"1196\" height=\"934\" class=\"alignnone\"><\/p>\n<p>2. Mesmo que voc\u00ea tenha a vers\u00e3o mais recente do sistema operacional, melhor n\u00e3o arriscar. Recomendamos que voc\u00ea instale uma solu\u00e7\u00e3o antiv\u00edrus no seu Android. O <a href=\"https:\/\/kasperskydaily.com\/brazil\/android-10-dicas-para-segurancaima\/4331\/\" target=\"_blank\" rel=\"noopener noreferrer\">Kaspersky Internet Security para Android<\/a> detecta todos os tr\u00eas m\u00f3dulos do Triada e consegue proteger seu dinheiro dos cibercriminosos respons\u00e1veis pelo Trojan. N\u00e3o se esque\u00e7a que as verifica\u00e7\u00f5es n\u00e3o s\u00e3o autom\u00e1ticas na vers\u00e3o gratuita. <\/p>\n<p>No fim, o Triada \u00e9 outro exemplo de uma tend\u00eancia problem\u00e1tica: desenvolvedores de malware est\u00e3o levando o Android bem a s\u00e9rio, as \u00faltimas amostras eram t\u00e3o complexas e dif\u00edceis de combater quanto a da vers\u00e3o para Windows. A melhor forma de se proteger de todas essas amea\u00e7as \u00e9 ser precavido e ter ao seu lado uma boa solu\u00e7\u00e3o de seguran\u00e7a.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nas guerras que aprendemos na aula de hist\u00f3ria, antes da era do cibercrime, os ex\u00e9rcitos n\u00e3o se moviam imprudentemente. Os batedores iam na frente, para se certificar de que tudo<\/p>\n","protected":false},"author":61,"featured_media":6084,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[34,911,92],"class_list":{"0":"post-6083","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-android","10":"tag-triada","11":"tag-trojan"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/triada-trojan\/6083\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/triada-trojan\/6802\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/triada-trojan\/6858\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/triada-trojan\/6782\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/triada-trojan\/7884\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/triada-trojan\/7640\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/triada-trojan\/11102\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/triada-trojan\/11481\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/triada-trojan\/10644\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/triada-trojan\/11102\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/triada-trojan\/11481\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/triada-trojan\/11481\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6083","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=6083"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6083\/revisions"}],"predecessor-version":[{"id":13241,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6083\/revisions\/13241"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/6084"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=6083"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=6083"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=6083"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}