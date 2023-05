Specialistii in securitate informatica de la Bitdefender au depistat reaparitia amenintarii informatice Triout, specializata in colectarea de informatii de pe telefonul mobil - apeluri telefonice, mesaje, fotografii, videoclipuri si coordonate GPS, intr-o aplicatie populara de VPN pentru Android, descarcata din Google Play de 50 milioane de ori si cu peste un milion de evaluari, majoritatea pozitive.

Aplicatia infectata Psiphon, folosita pentru accesarea unor pagini de internet cenzurate sau blocate, era distribuita prin magazine neoficiale si contine aceeasi mostra de amenintare informatica identificata in vara lui 2018, cand era incorporata intr-o aplicatie cu continut destinat adultilor.

Dincolo de Triout, aplicatia compromisa mai include si trei componente de adware - Google Ads, Inmobi Ads si Mopub Ads - menite sa genereze venituri suplimentare atacatorilor.

Odata descarcata aplicatia, Triout se instaleaza automat pe telefonul utilizatorului, de unde transmite toate informatiile catre serverul de comanda si control al atacatorului, fara ca victima sa stie de existenta sa.

In mod ironic, desi aplicatia este promovata drept instrument menit sa asigure confidentialitatea in timpul navigarii pe internet, aceasta face exact opusul, din cauza integrarii amenintarii pentru spionaj.

Ads

"Expansiunea dispozitivelor cu Android a crescut interesul atacatorilor de a dezvolta noi modele de amenintari informatice. Prezenta acestor terminale in vietile noastre, nivelul de informatii la care au acces si senzorii cu care sunt echipate le transforma in instrumentul perfect de spionaj. Desi amenintarea Triout nu a suferit schimbari ale functionalitatilor, faptul ca atacatorii o integreaza din nou in aplicatii populare arata ca incidente similare vor aparea si in viitor. Triout poate fi vectorul ideal de spionaj pentru tinte cheie", spune Liviu Arsene, specialist in securitate informatica la Bitdefender.

Aplicatia infectata a fost activa in perioada mai-decembrie 2018. Atat aplicatia compromisa, cat si cea legitima arata si se comporta identic, insemnand ca atacatorii s-au concentrat numai pe includerea instrumentului de spionaj, cu scopul clar de a nu trezi suspiciuni victimei.

Recomandarile pentru utilizatori sunt sa descarce aplicatii numai din magazine oficiale, sa foloseasca o solutie de securitate performanta pe fiecare dispozitiv si sa actualizeze mereu sistemul de operare la cea mai recenta versiune.