Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Più di 40 modelli di dispositivi Android economici infetti dal trojan Triada

dispositivi mobili  Triada  trojan   lunedì, 5 marzo 2018

I ricercatori di sicurezza di Dr. Web hanno scoperto la presenza del trojan Triada in più di 40 modelli di smartphone Android economici di produzione cinese.

Triada, scoperto a marzo del 2016, è uno dei più pericolosi malware per dispositivi mobili Android mai rilevati in-the-wild. Una volta lanciato sul dispositivo della vittima, Triada ottiene i privilegi di root ed installa una backdoor. Dopo aver preso il controllo del dispositivo, Triada sfrutta il processo Zygote del sistema operativo Android per eseguire il proprio codice nel contesto di tutte le applicazioni in esecuzione, svolgendo svariate attività malevole all’insaputa dell’utente. Questo trojan è in grado tra le altre cose di  scaricare, installare e lanciare altre applicazioni.

Non è la prima volta che questo trojan viene scoperto in dispositivi Android economici. La variante più recente scoperta da Dr. Web, battezzata Android.Triada.231, non viene distribuita dai cybercriminali come applicazione separata, ma viene iniettata direttamente nella libreria di sistema libandroid_runtime.so. Come conseguenza, il malware viene incorporato nel firmware durante la fase di produzione e i dispositivi vengono consegnati già infetti agli acquirenti.

Stando a quanto riportato da Dr. Web, la fonte del malware sarebbe una società di sviluppo software di Shanghai, partner di diversi produttori di smartphone cinesi, che avrebbe fornito una delle proprie applicazioni da includere nel sistema operativo dei dispositivi, assieme ad istruzioni su come aggiungere codice di terze parti alle librerie di sistema prima della loro compilazione. Apparentemente, queste richieste non sarebbero apparse come sospette agli occhi dei produttori, aprendo così la strada alle numerose infezioni rilevate dai ricercatori.

I ricercatori di Dr. Web hanno rilevato la presenza di Triada nel firmware dei seguenti dispositivi:

  1. Leagoo M5
  2. Leagoo M5 Plus
  3. Leagoo M5 Edge
  4. Leagoo M8
  5. Leagoo M8 Pro
  6. Leagoo Z5C
  7. Leagoo T1 Plus
  8. Leagoo Z3C
  9. Leagoo Z1C
  10. Leagoo M9
  11. ARK Benefit M8
  12. Zopo Speed 7 Plus
  13. UHANS A101
  14. Doogee X5 Max
  15. Doogee X5 Max Pro
  16. Doogee Shoot 1
  17. Doogee Shoot 2
  18. Tecno W2
  19. Homtom HT16
  20. Umi London
  21. Kiano Elegance 5.1
  22. iLife Fivo Lite
  23. Mito A39
  24. Vertex Impress InTouch 4G
  25. Vertex Impress Genius
  26. Advan S5E NXT
  27. Advan S4Z
  28. Advan i5E
  29. STF AERIAL PLUS
  30. STF JOY PRO
  31. Tesla SP6.2
  32. Cubot Rainbow
  33. EXTREME 7
  34. Haier T51
  35. Cherry Mobile Flare S5
  36. Cherry Mobile Flare J2S
  37. Cherry Mobile Flare P1
  38. NOA H6
  39. Pelitt T1 PLUS
  40. Prestigio Grace M5 LTE
  41. BQ 5510

Si tenga presente che questa non è una lista esaustiva: i ricercatori ritengono che l’elenco dei dispositivi infetti potrebbe essere molto più ampio.

Si raccomanda agli utenti di uno dei modelli elencati di effettuare una scansione approfondita del proprio dispositivo con una soluzione antivirus aggiornata, anche se per ora la capacità di individuazione di Android.Triada.231 da parte dei più diffusi antivirus risulta ancora piuttosto ridotta.

Notizie correlate

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto