Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Più di 40 modelli di dispositivi Android economici infetti dal trojan Triada

dispositivi mobili  Triada  trojan   lunedì, 5 marzo 2018

I ricercatori di sicurezza di Dr. Web hanno scoperto la presenza del trojan Triada in più di 40 modelli di smartphone Android economici di produzione cinese.

Triada, scoperto a marzo del 2016, è uno dei più pericolosi malware per dispositivi mobili Android mai rilevati in-the-wild. Una volta lanciato sul dispositivo della vittima, Triada ottiene i privilegi di root ed installa una backdoor. Dopo aver preso il controllo del dispositivo, Triada sfrutta il processo Zygote del sistema operativo Android per eseguire il proprio codice nel contesto di tutte le applicazioni in esecuzione, svolgendo svariate attività malevole all’insaputa dell’utente. Questo trojan è in grado tra le altre cose di  scaricare, installare e lanciare altre applicazioni.

Non è la prima volta che questo trojan viene scoperto in dispositivi Android economici. La variante più recente scoperta da Dr. Web, battezzata Android.Triada.231, non viene distribuita dai cybercriminali come applicazione separata, ma viene iniettata direttamente nella libreria di sistema libandroid_runtime.so. Come conseguenza, il malware viene incorporato nel firmware durante la fase di produzione e i dispositivi vengono consegnati già infetti agli acquirenti.

Stando a quanto riportato da Dr. Web, la fonte del malware sarebbe una società di sviluppo software di Shanghai, partner di diversi produttori di smartphone cinesi, che avrebbe fornito una delle proprie applicazioni da includere nel sistema operativo dei dispositivi, assieme ad istruzioni su come aggiungere codice di terze parti alle librerie di sistema prima della loro compilazione. Apparentemente, queste richieste non sarebbero apparse come sospette agli occhi dei produttori, aprendo così la strada alle numerose infezioni rilevate dai ricercatori.

I ricercatori di Dr. Web hanno rilevato la presenza di Triada nel firmware dei seguenti dispositivi:

  1. Leagoo M5
  2. Leagoo M5 Plus
  3. Leagoo M5 Edge
  4. Leagoo M8
  5. Leagoo M8 Pro
  6. Leagoo Z5C
  7. Leagoo T1 Plus
  8. Leagoo Z3C
  9. Leagoo Z1C
  10. Leagoo M9
  11. ARK Benefit M8
  12. Zopo Speed 7 Plus
  13. UHANS A101
  14. Doogee X5 Max
  15. Doogee X5 Max Pro
  16. Doogee Shoot 1
  17. Doogee Shoot 2
  18. Tecno W2
  19. Homtom HT16
  20. Umi London
  21. Kiano Elegance 5.1
  22. iLife Fivo Lite
  23. Mito A39
  24. Vertex Impress InTouch 4G
  25. Vertex Impress Genius
  26. Advan S5E NXT
  27. Advan S4Z
  28. Advan i5E
  29. STF AERIAL PLUS
  30. STF JOY PRO
  31. Tesla SP6.2
  32. Cubot Rainbow
  33. EXTREME 7
  34. Haier T51
  35. Cherry Mobile Flare S5
  36. Cherry Mobile Flare J2S
  37. Cherry Mobile Flare P1
  38. NOA H6
  39. Pelitt T1 PLUS
  40. Prestigio Grace M5 LTE
  41. BQ 5510

Si tenga presente che questa non è una lista esaustiva: i ricercatori ritengono che l’elenco dei dispositivi infetti potrebbe essere molto più ampio.

Si raccomanda agli utenti di uno dei modelli elencati di effettuare una scansione approfondita del proprio dispositivo con una soluzione antivirus aggiornata, anche se per ora la capacità di individuazione di Android.Triada.231 da parte dei più diffusi antivirus risulta ancora piuttosto ridotta.

Notizie correlate

App Android per il risparmio batteria nasconde adware e sottrae informazioni

22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un'app malevola sullo store ufficiale di Google che nasconde un adware in uno strumento per il risparmio energetico.Leggi tutto

Campagna di Email malevole ai danni di utenti italiani

20 giugno 2018

Il CERT-PA ha rilevato una nuova campagna di Email di spam indirizzata ad utenze italiane e volta alla diffusione di malware.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto