Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Malware per Android usa una sandbox per ingannare gli antivirus

dispositivi mobili  DroidPlugin  spyware  Triada  trojan   venerdì, 7 aprile 2017

Gli esperti di sicurezza di Avast hanno recentemente scoperto una nuova variante del trojan per dispositivi mobili equipaggiati con il sistema operativo Android noto come Triada che utilizza una sandbox allo scopo di evitare di essere rilevato dalle soluzioni antivirus.

Triada, scoperto per la prima volta all’inizio del 2016, integra ora il framework open source DroidPlugin, sviluppato dalla società cinese Qihoo360, nota anche per le sue app di sicurezza. DroidPlugin può essere utilizzato per eseguire pacchetti APK di terze parti senza doverli installare fisicamente sul dispositivo.

Questa tecnica rende più difficile l’individuazione di un nuovo malware da parte degli antivirus in quanto i componenti malevoli non sono inclusi direttamente nel codice dell’app, ma vengono scaricati dinamicamente ed eseguiti come plugin all’interno della sandbox.

Triada viene di norma diffuso inducendo gli utenti a scaricare app malevole da fonti non attendibili mediante tecniche di social engineering. La variante di Triada scoperta da Avast (identificata comeAndroid:Agent-MOK) si maschera da app ufficiale di un famoso store cinese per Android chiamato Wandoujia (vedi immagine).

Triada fake app

Fonte: Avast

Dopo essersi installato e attivato sul dispositivo, questo trojan nasconde la propria presenza all’utente rimuovendo l’icona dell’app dalla schermata home del sistema ed inizia a raccogliere e ad inviare all’esterno informazioni sul dispositivo e sul suo proprietario, comportandosi come uno spyware.

L’app principale di Triada (com.android.adapi) scarica ed esegue diversi moduli esterni come plugin utilizzando il framework DroidPlugin. Ogni plugin è progettato per compiere specifiche azioni malevole, tra cui il furto di dati, monitoraggio radio e della rete Wi-Fi, controllo della fotocamera, ecc. Uno dei plugin si occupa della comunicazione con un server C&C remoto da cui il malware riceve istruzioni su quali altri plugin attivare. Le funzioni dei vari plugin di Triada possono essere dedotte dai nomi dei rispettivi APK:

  • android.adapi.task
  • android.adapi.file
  • android.adapi.radio
  • android.adapi.location
  • android.adapi.camera
  • android.adapi.update
  • android.adapi.online
  • android.adapi.contact
  • android.adapi.wifi

Nonostante l’uso malevolo di una sandbox a scopo di evasione, la capacità di individuazione di questa nuova variante di Triada da parte dei più diffusi antivirus risulta già piuttosto elevata.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

“StrandHogg”: scoperta grave vulnerabilità che affligge tutte le versioni di Android

3 dicembre 2019

È stata scoperta una grave vulnerabilità nel sistema operativo Android che consente ad un malware di imitare app legittime all'insaputa dell'utente.Leggi tutto

Scoperte 17 app su Apple App Store infette da malware

28 ottobre 2019

Gli esperti di sicurezza della società Wandera hanno scoperto sull'App Store di Apple 17 app per iOS che risultano infette da un clicker trojan.Leggi tutto

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto