Dos variantes del software malicioso Triada y Horde han sido descubiertos por investigadores quienes advierten que las últimas muestras han adoptado nuevas técnicas peligrosas incluyendo la habilidad de evadir la seguridad de Google en algunas versiones del sistema operativo.

Respecto al troyano llamado Triada, los investigadores comentan que ahora es capaz de infectar el navegador por defecto, junto con otros tres navegadores nicho del sistema operativo Android incluyendo 360 Secure, Cheetah y Oupeng. Una vez infectado, los atacantes pueden interceptar las peticiones de los navegadores. Después, si un usuario tiende a visitar una de un número específico de URL, el malware mostrará un sitio web apócrifo diseñado para capturar información personal financiera.

Hasta ahora, la función principal de Triada fue robar dinero a través de mensajes SMS como parte de compras en la aplicación. Sin embargo, ahora que está armado con la nueva capacidad de suplantar las URL, el software malicioso Triada ahora puede interceptar cualquier URL en los teléfonos infectados y atraer a un usuario a “ingresar sus credenciales en una página fraudulenta o incluso descargar malware adicional sin saber (el usuario) que está visitando un sitio malicioso,” escribió Oren Koriat, analista de Check Point en un blog en el cual describe su investigación.

Check Point también ha actualizado el perfil que tiene sobre el software malicioso Horde, que es conocido por infectar aplicaciones en Google Play y subrepticiamente alistar teléfonos Android para convertirlos en parte de una red de bots móviles. El malware Horde infecta sobre todo juegos y utilidades disponibles en Google Play como Viking Jump, Parrot Copter, Memory Booster, Simple 2048 y WiFi Plus.

Check Point dice que la última variante de Horde es capaz de controlar los procesos en ejecución en las versiones de Android Lollipop y Marshmallow utilizando una nueva técnica para evitar la detección.

"Google ha invertido algunos esfuerzos en la prevención de tal actividad bloqueando aplicaciones con llamadas a la API getRunningTasks. Viking y Horde se las arreglaron para pasar por alto esta medida de seguridad mediante la lectura del sistema de archivos "/proc/", que almacena los procesos en ejecución, donde el malware puede encontrar dichos procesos ", escribió Koriat.

Cada una de estas técnicas de hacking son usadas por atacantes que esperan hasta que aplicaciones de pago o bancarias están en uso. Posteriormente, ellos pueden generar una superposición falsa diseñada para capturar datos personales o financieros introducidos por el usuario. El malware Horde se ha utilizado también para realizar fraude publicitario, llevar a cabo ataques DDoS y enviar correo no deseado aprovechándose del teléfono de las víctimas, advierten los investigadores.