پژوهشگران امنیت آواست دریافتند تروجان triada که سال گذشته به عنوان پیشرفته ترین تهدید موبایل شناخته شد، اخیرا قابلیت های ضد تشخیصی خود را با انتخاب تکنولوژی سندباکس تقویت کرده است.

برای اولین بار در ماه مارس سال گذشته، تروجانی برای به دام انداختن برنامه های دستگاه های اندرویدی با استفاده از نفوذ به zigot، کشف شد. این تروجان با معماری ماژولار خود، اساسا برای تغییر مسیر تراکنشهای پیامکهای مالی طراحی شده است و از این طریق به خرید محتویات اضافی یا سرقت  پول کاربر اقدام می کند.

به تازگی، تروجان triada از سندباکس منبع باز DroidPlugin استفاده می کند تا به صورت پویا برنامه ای را بدون نصب، بارگذاری و اجرا می کند. با کمک این سندباکس، تروجان triada پلاگین های APK مخرب را بارگذاری می کند.بنابراین، با این روش آنها را بدون نصب، روی دستگاه اندروید اجرا می کند.

به دلیل اینکه مولفه های مخرب آنها در برنامه ی میزبان ذخیره نمی شوند، تشخیص این تروجان برای آنتی ویروس ها زمان بر است. تروجان مذکور با کمک تکنیک های مهندسی اجتماعی پخش می شود مثلا افراد قربانی را برای دانلود این تروجان فریب می دهند.زمانی که  این تروجان نصب شد، ایکون خودش را مخفی می کند و بدون هشدار به قربانی، شروع به سرقت اطلاعات شخصی می کند.

پژوهشگران آواست بیان کردند که، اگرچه اولین نسخه ی این تروجان از فریم ورک DroidPlugin  استفاده نمی کرد، اما در ماه نوامبر ، نسخه ی جدیدی تولید شده که از آن استفاده کرده است.

در حدود همان زمانی که نوع جدید triada پدید آمد، برنامه نویس این بد افزار به DroidPlugin  یک باگ out-of-memory  را اطلاع داد.

این تروجان چهره خودش را به عنوان Wandoujia تغییر می دهد. Wandoujia یک بازار اندرویدی چینی است.

به علاوه، مشاهده شده است که این تروجان همه ی پلاگین های apk مخرب را در دایرکتوری asset مخفی می کند.

محققان می گویند: " هر یک از این پلاگین ها اعمال مخرب اختصاصی خود را دارند تا اطلاعات را از قربانی جمع آوری کنند، از جمله: ربودن فایل ،نظارت رادیویی و غیره. یکی از این پلاگین با یک سرور در ارتباط است. اینکه چه دستورات و چه فعالیت هایی باید انجام شود وظیفه این سرور است.این کارها توسط apk های دیگر انجام می شود."

همچنین آواست بیان می کند که برنامه نویسان تروجان نامبرده، پلاگین های مخرب را در یک برنامه جمع آوری نمی کنند اما در عوض، آنها استفاده از سندباکس DroidPlugin   را برای بارگذاری و اجرا انتخاب کرده اند.آنها به طور مشخص این اقدام را  برای عبور کردن از تشخیص آنتی ویروس ها انجام داده اند.

برنامه میزبان شامل اعمال مخرب نیست و آنتی ویروس ها برنامه میزبان را  تشخیص نمی دهند  و برنامه میزبان را به لیست خود اضافه نمی کنند.

تا کنون، تنها یکی دو مورد از تروجان ها مشاهده شده است که از سندباکس ها برای هدف های غیراخلاقی و زشت استفاده می کنند.اما نمونه های بیشتری هم ممکن است آشکار شود.

آواست نتیجه گیری می کند : " اگر چه استفاده از سندباکس ها برای اجرای یک برنامه بدون نصب آن راحت است، اما تروجان ها همچنین میتوانند از سند باکسها به طور مخربی استفاده کنند. "