Πίσω στο 2016, ένα κακόβουλο λογισμικό που ονομάζεται Triada, ανακαλύφθηκε για πρώτη φορά από την Kaspersky Lab. Σύμφωνα με τους ειδικούς ασφαλείας που το μελέτησαν, πρόκειται για ένα rooting Trojan, το οποίο εκμεταλλεύεται ένα μηχάνημα, αποκτώντας πρόσβαση σε ευαίσθητα τμήματα του λειτουργικού του συστήματος.
Μόλις το Trojan εγκατασταθεί, αρχίζει να εγκαθιστά στη συσκευή spam εφαρμογές, τις οποίες κατεβάζει από έναν command and control server. Οι εφαρμογές αυτές εμφανίζουν με τη σειρά τους διαφημίσεις στις επηρεαζόμενες συσκευές και όταν ο χρήστης κάνει κλικ σε κάποια από αυτές, οι hackers κερδίζουν χρήματα.
Το Triada όμως δεν εγκαθιστά μόνο εφαρμογές. Εισάγει επίσης κώδικα σε τέσσερις διαφορετικούς browsers και έτσι μπορεί να αντικαθιστά τις διαφημίσεις που εμφανίζονται στους ιστότοπους με άλλες που αποφέρουν χρήματα στον κακόβουλο παράγοντα. Μερικά από τα προγράμματα περιήγησης που μπορούν να επηρεαστούν από το Τriada είναι τα AOSP, 360 Secure, Cheetah και Oupeng.
Για να εξασφαλίσει ότι μία συσκευή έχει αρκετό χώρο για την εγκατάσταση των spam εφαρμογών, το Triada εκμεταλλεύεται ένα χαρακτηριστικό που ονομάζεται weight watching, το οποίο βαθμολογεί μία εφαρμογή ή ένα αρχείο ανάλογα με την ημερομηνία εγκατάστασης και το πιστοποιητικό. Όσες εφαρμογές δεν είναι προεγκατεστημένες σε μία συσκευή, είναι συνήθως οι πρώτες που αφαιρούνται από το κακόβουλο λογισμικό, ώστε να δημιουργηθεί χώρος για τις εφαρμογές που θέλει να εγκαταστήσει εκείνο.
Για να το αντιμετωπίσει η Google έχει εισάγει βελτιώσεις στο Google Play Protect, οι οποίες επιτρέπουν στο λογισμικό να ανιχνεύει αυτόματα το Trojan. Επιπλέον, οι βελτιώσεις που έγιναν στο λειτουργικό σύστημα Android περιόρισαν τον αντίκτυπο του κακόβουλου λογισμικού σε συσκευές που χρησιμοποιούν παλαιότερες εκδόσεις του λειτουργικού συστήματος της Google.
Οι κακόβουλοι παράγοντες όμως δεν ήταν διατεθειμένοι να τα παρατήσουν τόσο εύκολα. Έτσι βρήκαν τον τρόπο να συνεχίσουν να διανέμουν το Triada σε συσκευές, πριν αυτές γίνουν διαθέσιμες προς πώληση.
Για να το επιτύχουν αυτό, εκμεταλλεύονται τη διαδικασία κατά την οποία τρίτοι προμηθευτές εισάγουν πρόσθετες λειτουργίες στο σύστημα της συσκευής, φροντίζοντας ανάμεσα στα αρχεία των προμηθευτών να βρίσκεται και το Triada.
Για να ανταποκριθεί στις νεότερες εκδόσεις του λογισμικού, το Triada εισάγει κώδικα στην εφαρμογή Google Play. Με αυτό τον τρόπο το κακόβουλο λογισμικό μπορεί να εγκαθιστά spam εφαρμογές, χωρίς να φαίνεται ότι δεν προέρχονται από το Play Store και χωρίς να χρειάζεται να αλλάξουν οι ρυθμίσεις της συσκευής και να ενεργοποιηθεί η επιλογή “Εγκατάσταση από άγνωστες πηγές”.
Για να επιλύσει αυτό το πρόβλημα, η Google χρειάστηκε να αναπτύξει ενημερώσεις που αφαιρούν αρχεία που σχετίζονται με το κακόβουλο λογισμικό Triada, ενώ για να αποφευχθούν μελλοντικές περιπτώσεις διανομής κακόβουλου λογισμικού, η εταιρεία προσφέρει επίσης τη σουίτα Test Build σε κατασκευαστές κινητών τηλεφώνων.
