Kaspersky Lab scopre Triada, un Trojan che colpisce i dispositivi Android
Triada è un nuovo Trojan che prende di mira i dispositivi Android e, in termini di complessità, può essere paragonato a un malware basato su Windows. E' invisibile, modulare, persistente. I dispositivi che integrano la versione 4.4.4 di Android, e quelle precedenti, sono fortemente a rischio.
Secondo una recente ricerca di Kaspersky Lab sulla Virologia dei Dispositivi Mobile, quasi metà dei 20 maggiori Trojan del 2015 sono stati programmi nocivi in grado di ottenere i diritti di accesso super-utente.
I privilegi di super-utente danno ai cyber criminali i diritti per installare applicazioni sul telefono senza che l’utente ne venga a conoscenza.
Questo genere di malware si diffonde attraverso applicazioni che gli utenti scaricano/installano da fonti non affidabili.
Queste app possono a volte trovarsi nello store ufficiale Google Play, sotto forma di gioco o di applicazione per l’intrattenimento. Possono inoltre essere installate durante l’update di un’app già esistente e, talvolta, sono preinstallate sul dispositivo mobile.
I dispositivi che integrano la versione 4.4.4. e quelle precedenti del sistema operativo Android sono a maggior rischio.
Ci sono 11 famiglie di Trojan mobile conosciute che usano i privilegi di root e tre di esse (Ztorg, Gorpo e Leechm) operano in collaborazione tra di loro. I dispositivi infettati da questi Trojan solitamente si organizzano in una rete, creando una sorta di botnet pubblicitaria che può essere sfruttata dai gruppi criminali per installare diversi tipi di adware.
Ma non è tutto… Subito dopo l’intrusione nel dispositivo, il Trojan in oggetto scarica e installa una backdoor. Questa effettua dunque il download e l’attivazione di due moduli che sono in grado di scaricare, installare e lanciare applicazioni. Il loader dell’applicazione e i suoi moduli d’installazione appartengono a diversi tipi di Trojan, ma tutti sono stati aggiunti ai nostri database antivirus sotto il nome comune di Triada.
Entrare nel parental process di Android
Una caratteristica peculiare di questo malware è l’uso di Zygote, che sta alla base del processo di applicazione su un dispositivo Android, contenendo librerie di sistema e framework usati da ogni applicazione installata sul dispositivo.
In altre parole, è un demone il cui scopo è lanciare applicazioni Android.
È un processo di app standard che funziona per ogni applicazione recentemente installata. Non appena il Trojan entra nel sistema, diventa parte del processo di app e sarà preinstallato in ogni lancio di applicazione sul dispositivo, oltre a poter cambiare la logica delle operazioni dell’applicazione.
È la prima volta che una simile tecnologia viene vista in-the-wild.
Prima di questo, un Trojan che usa Zygote era conosciuto solamente come proof-of-concept. Le funzionalità di invisibilità di questo malware sono molto avanzate. Dopo essere entrato nel dispositivo dell’utente, Triada viene eseguito in quasi ogni processo di lavoro e continua ad esistere solamente nel registro delle attività.
Ciò rende praticamente impossibile la rilevazione e l’eliminazione usando soluzioni antimalware. Triada opera silenziosamente, il che significa che tutte le attività nocive sono nascoste sia all’utente, sia alle altre applicazioni.
La complessità delle funzionalità del Trojan Triada prova che dietro a questo malware ci siano cyber criminali professionisti, con una profonda comprensione della piattaforma mobile presa di mira.
Il modello di business di Triada
Una delle principali funzionalità del Trojan Triada è la capacità di modificare gli SMS in uscita inviati da altre applicazioni. Quando un utente fa acquisti in-app via SMS per giochi Android, i criminali possono modificare l’SMS in uscita in modo che il denaro vada a loro anziché allo sviluppatore del gioco.
“Triada, nelle sue tre varianti Ztrog, Gorpo e Leech, segna una nuova fase nell’evoluzione delle minacce basate su Android. Sono i primi malware ampiamente diffusi in grado di incrementare i propri privilegi sulla maggior parte dei dispositivi. Quasi tutti gli utenti attaccati dai trojan erano situati in Russia, India e Ucraina, oltre ai Paesi dell’area APAC. È difficile sottostimare la minaccia di un’applicazione nociva che ottiene l’accesso di root al dispositivo. Il maggior rischio, come evidenziato dall’esempio di Triada, è che permettono ad applicazioni nocive molto più avanzate e pericolose di accedere al dispositivo. Hanno inoltre un’architettura ben concepita, sviluppata da cyber criminali che hanno una profonda conoscenza della piattaforma mobile presa di mira”, ha commentato Nikita Buchka, Junior Malware Analyst di Kaspersky Lab.
Cosa fare?
Visto che è quasi impossibile disinstallare questo malware da un dispositivo, gli utenti hanno due opzioni per liberarsene.
La prima è ottenere l’accesso di root al device ed eliminare manualmente le applicazioni nocive.
La seconda opzione è eseguire il jailbreak del sistema Android sul dispositivo.
E' possibile leggere ulteriori informazioni su Triada nel blogpost su Securelist.it.
I privilegi di super-utente danno ai cyber criminali i diritti per installare applicazioni sul telefono senza che l’utente ne venga a conoscenza.
Questo genere di malware si diffonde attraverso applicazioni che gli utenti scaricano/installano da fonti non affidabili.
Queste app possono a volte trovarsi nello store ufficiale Google Play, sotto forma di gioco o di applicazione per l’intrattenimento. Possono inoltre essere installate durante l’update di un’app già esistente e, talvolta, sono preinstallate sul dispositivo mobile.
I dispositivi che integrano la versione 4.4.4. e quelle precedenti del sistema operativo Android sono a maggior rischio.
Ci sono 11 famiglie di Trojan mobile conosciute che usano i privilegi di root e tre di esse (Ztorg, Gorpo e Leechm) operano in collaborazione tra di loro. I dispositivi infettati da questi Trojan solitamente si organizzano in una rete, creando una sorta di botnet pubblicitaria che può essere sfruttata dai gruppi criminali per installare diversi tipi di adware.
Ma non è tutto… Subito dopo l’intrusione nel dispositivo, il Trojan in oggetto scarica e installa una backdoor. Questa effettua dunque il download e l’attivazione di due moduli che sono in grado di scaricare, installare e lanciare applicazioni. Il loader dell’applicazione e i suoi moduli d’installazione appartengono a diversi tipi di Trojan, ma tutti sono stati aggiunti ai nostri database antivirus sotto il nome comune di Triada.
Entrare nel parental process di Android
Una caratteristica peculiare di questo malware è l’uso di Zygote, che sta alla base del processo di applicazione su un dispositivo Android, contenendo librerie di sistema e framework usati da ogni applicazione installata sul dispositivo.
In altre parole, è un demone il cui scopo è lanciare applicazioni Android.
È un processo di app standard che funziona per ogni applicazione recentemente installata. Non appena il Trojan entra nel sistema, diventa parte del processo di app e sarà preinstallato in ogni lancio di applicazione sul dispositivo, oltre a poter cambiare la logica delle operazioni dell’applicazione.
È la prima volta che una simile tecnologia viene vista in-the-wild.
Prima di questo, un Trojan che usa Zygote era conosciuto solamente come proof-of-concept. Le funzionalità di invisibilità di questo malware sono molto avanzate. Dopo essere entrato nel dispositivo dell’utente, Triada viene eseguito in quasi ogni processo di lavoro e continua ad esistere solamente nel registro delle attività.
Ciò rende praticamente impossibile la rilevazione e l’eliminazione usando soluzioni antimalware. Triada opera silenziosamente, il che significa che tutte le attività nocive sono nascoste sia all’utente, sia alle altre applicazioni.
La complessità delle funzionalità del Trojan Triada prova che dietro a questo malware ci siano cyber criminali professionisti, con una profonda comprensione della piattaforma mobile presa di mira.
Il modello di business di Triada
Una delle principali funzionalità del Trojan Triada è la capacità di modificare gli SMS in uscita inviati da altre applicazioni. Quando un utente fa acquisti in-app via SMS per giochi Android, i criminali possono modificare l’SMS in uscita in modo che il denaro vada a loro anziché allo sviluppatore del gioco.
“Triada, nelle sue tre varianti Ztrog, Gorpo e Leech, segna una nuova fase nell’evoluzione delle minacce basate su Android. Sono i primi malware ampiamente diffusi in grado di incrementare i propri privilegi sulla maggior parte dei dispositivi. Quasi tutti gli utenti attaccati dai trojan erano situati in Russia, India e Ucraina, oltre ai Paesi dell’area APAC. È difficile sottostimare la minaccia di un’applicazione nociva che ottiene l’accesso di root al dispositivo. Il maggior rischio, come evidenziato dall’esempio di Triada, è che permettono ad applicazioni nocive molto più avanzate e pericolose di accedere al dispositivo. Hanno inoltre un’architettura ben concepita, sviluppata da cyber criminali che hanno una profonda conoscenza della piattaforma mobile presa di mira”, ha commentato Nikita Buchka, Junior Malware Analyst di Kaspersky Lab.
Cosa fare?
Visto che è quasi impossibile disinstallare questo malware da un dispositivo, gli utenti hanno due opzioni per liberarsene.
La prima è ottenere l’accesso di root al device ed eliminare manualmente le applicazioni nocive.
La seconda opzione è eseguire il jailbreak del sistema Android sul dispositivo.
E' possibile leggere ulteriori informazioni su Triada nel blogpost su Securelist.it.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Apr 19
Webinar by Logitech: Soluzioni Ecofriendly in mobilità
Apr 23
Webinar by HPE: Quanto valgono i Tuoi dati?
Apr 23
Guardiani Digitali - Seconda edizione: Un Seminario sulla Cybersecurity con Cisco e TD SYNNEX
Apr 23
Speed Date Day - TD SYNNEX & Oracle
Apr 29
Webinar Parallels
Apr 30
Webinar by Xpres: Scopri il Programma di Stampa Assistita di Xpres
Mag 07
Corso tecnico DataCore SanSymphony per ottenere la certificazione DCIE
Mag 07
Zyxel Discovery: Networking, Wireless e Security per i tuoi clienti SMB
Mag 07
V-Valley presenta le soluzioni di Load Balancer e la protezione DDoS di A10 Networks
Magazine Tutti i numeri
G11 Media Networks
ChannelCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
