Prieigą prie visų programėlių virusas „Triada“ gauna per „Zygote“ procesą, kuris yra visų „Android“ programėlių šablonas. Į jį patekęs pats tampa šablono dalimi. Tai pirmas „Zygote“ taikymo atvejis – iki tol panašios technikos buvo vertinamos tik teoriškai.
Kitas „Triados“ ypatumas – modulinė struktūra. Pasitelkęs pagrindinę programą pats diegia į įrenginį įvairius viruso modulius, turinčius tuo metu sukčiams reikalingas funkcijas. Be to, kenkėjas sugeba slėpti savo modulius. Jų nematysime nei įdiegtų programėlių ir paketų sąraše, nei paleistų paslaugų sąraše. Viskas saugoma sisteminiuose aplankuose, prie kurių prieigą virusas gauna pats sau suteikęs „supervartotojo“ teises.
Šiuo metu „Triada“ dažniausiai užsiima tuo, kad vagia teisėtas programėles įsigyjančių vartotojų arba programėlių kūrėjų pinigus. Virusas perima, keičia ir filtruoja mokėjimo SMS. Pavyzdžiui, kai vartotojas perka vidinėje žaidimų parduotuvėje, sukčiai gali pakeisti pradinį mokėjimo SMS pranešimą taip, kad vartotojo pinigus gautų jie, o ne žaidimo kūrėjai.
„Anksčiau dauguma į šią platformą nukreiptų virusų buvo gana primityvūs, o dabar į sceną žengia techniškai itin sudėtingos grėsmės. Akivaizdu, kad virusas „Triada“ sukurtas labai gerai puolamą mobiliąją platformą išmanančių kibernetinių nusikaltėlių.
Taikomi slėpimo metodai neleidžia aptikti visų viruso komponentų užkrėstame įrenginyje, o dėl modulinės architektūros sukčiai gali plėsti ir keisti funkcionalumą. Kenkėjas patenka į visas programėles, tad nusikaltėliai potencialiai gali pakeisti jų logiką ir įgyvendinti naujus išpuolius bei taip didinti savo pelną“, – aiškina Nikita Bučka, virusą aptikusios „Kaspersky Lab“ analitikas.
