Gli esperti di Kaspersky Lab hanno scoperto Triada, un nuovo trojan che prende di mira i dispositivi Android e, in termini di complessità, può essere paragonato a un malware basato su Windows.
Invisibile, modulare, persistente e scritto da cyber criminali professionisti. I dispositivi che integrano la versione 4.4.4. e quelle precedenti del sistema operativo Android sono fortemente a rischio.
Secondo una recente ricerca di Kaspersky Lab sulla Virologia dei Dispositivi Mobile, quasi metà dei 20 maggiori trojan del 2015 sono stati programmi nocivi in grado di ottenere i diritti di accesso super-utente. I privilegi di super-utente danno ai cyber criminali i diritti per installare applicazioni sul telefono senza che l’utente ne venga a conoscenza.
Questo genere di malware si diffonde attraverso applicazioni che gli utenti scaricano/installano da fonti non affidabili. Queste app possono a volte trovarsi nello store ufficiale Google Play, sotto forma di gioco o di applicazione per l’intrattenimento. Possono inoltre essere installate durante l’update di un’app già esistente e, talvolta, sono preinstallate sul dispositivo mobile. I dispositivi che integrano la versione 4.4.4. e quelle precedenti del sistema operativo Android sono a maggior rischio.
Ci sono 11 famiglie di trojan mobile conosciute che usano i privilegi di root e tre di esse (Ztorg, Gorpo e Leechm) operano in collaborazione tra di loro. I dispositivi infettati da questi trojan solitamente si organizzano in una rete, creando una sorta di botnet pubblicitaria che può essere sfruttata dai gruppi criminali per installare diversi tipi di adware.
Subito dopo l’intrusione nel dispositivo, il trojan in oggetto scarica e installa una backdoor. Questa effettua dunque il download e l’attivazione di due moduli che sono in grado di scaricare, installare e lanciare applicazioni.
Il loader dell’applicazione e i suoi moduli d’installazione appartengono a diversi tipi di trojan, ma tutti sono stati aggiunti ai nostri database antivirus sotto il nome comune di Triada.
Una caratteristica peculiare di questo malware è l’uso di Zygote, che sta alla base del processo di applicazione su un dispositivo Android, contenendo librerie di sistema e framework usati da ogni applicazione installata sul dispositivo. In altre parole, è un demone il cui scopo è lanciare applicazioni Android. È un processo di app standard che funziona per ogni applicazione recentemente installata. Non appena il trojan entra nel sistema, diventa parte del processo di app e sarà preinstallato in ogni lancio di applicazione sul dispositivo, oltre a poter cambiare la logica delle operazioni dell’applicazione.
È la prima volta che una simile tecnologia viene vista in-the-wild. Prima di questo, un trojan che usa Zygote era conosciuto solamente come proof-of-concept.
Le funzionalità di invisibilità di questo malware sono molto avanzate. Dopo essere entrato nel dispositivo dell’utente, triada viene eseguito in quasi ogni processo di lavoro e continua ad esistere solamente nel registro delle attività. Ciò rende praticamente impossibile la rilevazione e l’eliminazione usando soluzioni antimalware. triada opera silenziosamente, il che significa che tutte le attività nocive sono nascoste sia all’utente, sia alle altre applicazioni.
La complessità delle funzionalità del trojan Triada prova che dietro a questo malware ci siano cyber criminali professionisti, con una profonda comprensione della piattaforma mobile presa di mira.