Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Triada: un nuovo trojan per Android quasi impossibile da rimuovere

dispositivi mobili  Triada  trojan   venerdì, 4 marzo 2016

Malware Android TriadaI ricercatori di sicurezza di Kaspersky Lab hanno recentemente scoperto una nuova famiglia di trojan per i dispositivi mobili equipaggiati con il sistema operativo Android, battezzata Triada, con caratteristiche viste per la prima volta in questo tipo di malware.

Triada è in realtà formato da una combinazione di tre diversi trojan (Ztorg, Gorpo e Leech), in grado di ottenere i privilegi di root sul dispostivo, che agiscono in cooperazione tra loro organizzandosi in una sorta di botnet con altri dispositivi infetti. Questa rete viene sfruttata dai cyber-criminali per installare diversi tipi di adware e distribuire applicazioni, allo scopo di trarne profitto.

Questo tipo di malware si propaga solitamente attraverso app scaricate e installate dagli utenti da fonti non attendibili. In alcuni casi, queste applicazioni malevole sono state trovate anche nel Play Store ufficiale di Google, mascherate da giochi o altre app di intrattenimento.

Dopo essersi installato e attivato sul dispositivo, ottenendo i privilegi di root, Triada scarica ed installa una backdoor mediante la quale scarica e attiva due ulteriori moduli che a loro volta hanno la possibilità di scaricare, installare e lanciare altre applicazioni. In pratica, questo tipo di architettura consente a chi controlla Triada di compiere praticamente qualsiasi tipo di azione malevola sui dispositivi delle vittime.

Triada possiede caratteristiche di persistenza e invisibilità molto sofisticate. È il primo esemplare di malware per Android in-the-wild che sfrutta il processo Zygote per eseguire il proprio codice nel contesto di tutte le applicazioni che girano sul dispositivo. Il processo Zygote è il processo padre per tutte le applicazioni Android. Esso contiene le librerie di sistema e le strutture utilizzate da quasi tutte le applicazioni. Questo processo è in pratica un “modello” per ogni nuova applicazione, il che significa che una volta che il trojan entra nel processo Zygote, diventa parte del modello e viene incorporato in ogni applicazione lanciata sul dispositivo.

Inoltre, la porzione principale del codice del malware esiste solamente nella memoria RAM del dispositivo, il che lo rende praticamente impossibile da individuare e rimuovere da parte delle comuni soluzioni antivirus.

Secondo Kaspersky, la complessità delle funzionalità di Triada è la prova che dietro questo malware ci sono criminali informatici altamente organizzati e in possesso di una profonda conoscenza della piattaforma mobile Android.

Il modello di business degli autori di Triada si basa, oltre che sulla diffusione di app legittime tramite adware, su una delle principali funzionalità del malware, ossia la capacità di modificare i messaggi SMS in uscita inviati da altre applicazioni. Ad esempio, quando un utente effettua acquisti in-app tramite SMS in giochi per Android, i truffatori sono in grado di modificare gli SMS in uscita in modo da ricevere i pagamenti al posto dei legittimi sviluppatori.

I dispositivi più a rischio di infezione da parte di questo tipo di trojan sono quelli su cui è installata una versione di Android uguale o precedente alla 4.4.4, in quanto contengono molte più vulnerabilità che possono essere sfruttate per ottenere l’accesso come root. Purtroppo questi sistemi equipaggiano ancora circa il 60% di tutti i dispositivi Android.

Dato che è quasi impossibile disinstallare Triada da un dispositivo infetto, secondo Kaspersky gli utenti hanno a disposizione solamente due opzioni per eliminare questo malware: effettuare il rooting del dispositivo e rimuovere le app malevole manualmente, oppure installare una ROM custom, ossia un’immagine completa alternativa del sistema operativo, sostituendo completamente il firmware originale.


Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto