Pericolo Triada, il virus invisibile che colpisce Android

Naviga SWZ: Home Page » Mobile
News del 28 Marzo 16 Autore: Stefano Fossati
Se avete uno smartphone non troppo recente basato su una vecchia versione di Android, attenzione a Triada. Si chiama così il trojan scoperto da Kaspersky Lab che prende di mira i dispositivi dotati dalla versione 4.4.4 o precedente del sistema operativo di Google. Triada, avverte Kaspersky, può essere paragonato, a livello di complessità, a un malware per Windows: invisibile, modulare, persistente e scritto da cybercriminali professionisti.

Il loader dell’applicazione e i suoi moduli d’installazione appartengono in realtà a diversi tipi di trojan, ma date le caratteristiche comuni la società di sicurezza informatica li ha raggruppati sotto il nome comune di Triada. Come la maggior parte dei trojan mobile, Triada può diffondersi attraverso applicazioni che gli utenti scaricano e installano da fonti non affidabili, più raramente da giochi o app di intrattenimento presenti nel Play Store ufficiale. Subito dopo l’intrusione nel dispositivo, il trojan scarica e installa una backdoor che si incarica di effettuare il download e l’attivazione di due moduli che a loro volta possono scaricare, installare e lanciare applicazioni. Tutto senza che il possessore dello smartphone si accorga di nulla.

Una volta entrato nel sistema, Triada diventa parte del processo di app e sarà preinstallato in ogni lancio di applicazione sul dispositivo, oltre a poter cambiare la logica delle operazioni dell’applicazione. In pratica viene eseguito in quasi ogni processo di lavoro e continua a esistere solamente nel registro delle attività. Ciò rende praticamente impossibile la rilevazione e l’eliminazione usando le classiche soluzioni antimalware. Triada opera “silenziosamente”, il che significa che tutte le attività nocive sono nascoste sia all’utente, sia alle altre applicazioni. Una simile complessità e raffinatezza prova che dietro a questo malware vi sono cybercriminali professionisti, con una profonda conoscenza della piattaforma Android.

Pericolo Triada, il virus invisibile che colpisce Android - immagine 1

Ma cosa fa, in concreto, Triada? Una delle sue principali funzionalità, rileva Kaspersky, è la capacità di modificare gli Sms in uscita inviati da altre applicazioni. Così, quando ad esempio l’utente fa acquisti in-app via Sms per giochi Android, i criminali possono modificare il messaggio in uscita in modo che il denaro vada a loro anziché allo sviluppatore del gioco.

“Triada, nelle sue tre varianti Ztrog, Gorpo e Leech, segna una nuova fase nell’evoluzione delle minacce basate su Android”, spiega Nikita Buchka, Junior Malware Analyst di Kaspersky Lab. Che prosegue: “Sono i primi malware ampiamente diffusi in grado di incrementare i propri privilegi sulla maggior parte dei dispositivi. Quasi tutti gli utenti attaccati dai trojan erano situati in Russia, India e Ucraina, oltre ai Paesi dell’area Asia-Pacifico. È difficile sottostimare la minaccia di un’applicazione nociva che ottiene l’accesso di root al dispositivo. Il maggior rischio, come evidenziato dall’esempio di Triada, è che permettano ad applicazioni nocive molto più avanzate e pericolose di accedere al dispositivo. Hanno inoltre un’architettura ben concepita, sviluppata da criminali che hanno una profonda conoscenza della piattaforma mobile presa di mira”.

Essendo quasi impossibile disinstallare questo malware, per liberarsene non resta che ottenere l’accesso di root al dispositivo ed eliminare manualmente le applicazioni nocive, oppure eseguire il jailbreak del sistema Android sul device.
In base a una recente ricerca di Kaspersky Lab, quasi metà dei 20 maggiori trojan del 2015 sono stati programmi nocivi in grado di ottenere i diritti di accesso super-utente, che danno ai cybercriminali i diritti per installare applicazioni sul telefono senza che l’utente ne venga a conoscenza.

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE