Sicuramente saprete come si muove l’esercito sul campo di battaglia: prima si manda una truppa in esplorazione per controllare che tutto sia ok, poi arriva l’artiglieria pesante (almeno era così prima dell’avvento della guerra cibernetica). I trojan funzionano nello stesso modo.
Esistono un sacco di tipi di trojan per Android capaci di ottenere i privilegi di accesso, ovvero l’accesso root. I nostri analisti malware Nikita Buchka e Mikhail Kuzin hanno rintracciato ben 11 famiglie di questa tipologia di trojan. Molti di loro sono innocui; tutto quello che fanno è riempire le loro vittime di pubblicità e fargli scaricare altri trojan dello stesso genere. Se volete saperne di più, potete trovare su Securelist un articolo molto interessante (in inglese).
Riprendendo di nuovo la metafora militare, i trojan appena menzionati sono le truppe che vanno in esplorazione. Come probabilmente avrete notato, ottenere l’accesso root dà loro l’opportunità di scaricare e installare molte applicazioni (ecco perché una volta che uno di questi trojan entra nel vostro dispositivo, ne arriveranno presto molti altri). Tuttavia, i nostri ricercatori avvertono che presto questi piccoli trojan verranno sicuramente utilizzati per scaricare malware molto pericolosi e mettere in serio pericolo i dispositivi delle loro vittime.
Dangerous trends taking root in #mobile phones https://t.co/DkLD8KhSuk #research pic.twitter.com/wc3NfSSv3Z
— Securelist (@Securelist) August 27, 2015
Questo è proprio quello che è successo di recente. Piccoli trojan come Leech, Ztorg e Gopro possono scaricare uno dei malware mobile più avanzati che i nostri analisti malware abbiano mai visto: si chiama Triada.
Triada è un trojan mobile modulare che utilizza i privilegi root per sostituire i file di sistema; questo trojan si instaura soprattutto nella RAM dei dispositivi e questo rende più difficile la sua individuazione.
Le vie oscure di Triada
Una volta scaricato e installato, il trojan Triada cerca prima di tutto di raccogliere qualche informazione sul sistema, per esempio modello del dispositivo, versione del sistema operativo, la capacità di memoria della scheda SD, nonché la lista delle applicazioni installate e altre cose. Poi si inviano tutte queste informazioni al server Command & Control. Abbiamo rintracciato un totale di 17 server C&C su 4 diversi domini.
I server C&C rispondono a un file di configurazione che contiene il numero di identificazione personale di ogni dispositivo e altre impostazioni (l’intervallo di tempo utilizzato per contattare il server, la lista dei moduli da installare e così via). Una volta che i moduli sono stati installati, vengono utilizzati dalla memoria a breve termine e cancellati dallo storage, il che rende il trojan molto più difficile da catturare.
Ci sono altre due ragioni per cui Triada è così difficile da individuare e ha di conseguenza colpito così tanto i nostri ricercatori. In primo luogo perché modifica il processo Zygote. Il processo Zygote è il processo padre per tutte le applicazioni Android; esso contiene le librerie di sistema ed i framework utilizzati praticamente da tutte le app. Questo significa che una volta che il trojan entra in Zygote, diventa parte di qualsiasi app che viene lanciata dal dispositivo.
In secondo luogo, il trojan sostituisce le funzioni del sistema e nasconde i propri moduli dalla lista dei processi attivi e app installate. In questo modo il sistema non vede nessun processo attivo sospetto e non viene lanciato l’allarme.
Queste non sono le uniche funzionalità di sistema che Triada modifica. Come hanno scoperto i nostri ricercatori, altera anche gli SMS in uscita e filtra quelli in arrivo. Questo è esattamente il modo mediante il quale i criminali riescono a guadagnare soldi con il trojan.
Alcune applicazioni ricorrono agli SMS in merito agli acquisti in-app; i dati delle transazioni vengono trasferiti via messaggio di testo. La ragione principale per la quale i ricercatori hanno scelto gli SMS rispetto ai pagamenti tradizionali è che con gli SMS non è necessaria nessuna connessione a Internet. Gli utenti non vedono questi SMS perché sono processati non dall’app interna degli SMS, ma dall’app che ha iniziato la transazione (per esempio, un gioco gratuito).
A SMS #Trojan Bypasses #CAPTCHA and Steals Money: https://t.co/9fjQ0PwZuw pic.twitter.com/r5jKqQUc3y
— Kaspersky (@kaspersky) March 18, 2015
Triada, inoltre, permette di modificare questi messaggi di modo che i soldi vengano inviati non allo sviluppatore dell’app, ma a quelli del malware. Triada ruba i soldi sia agli utenti (nel caso non siano riusciti ad acquistare quello che volevano) che ai developer delle app, nel caso l’utente abbia completato l’acquisto con successo.
Al momento, è l’unico modo in cui i cybercriminali riescono a trarre profitto da Triada, non dimenticate che si tratta di un trojan modulare e può infiltrarsi dappertutto solo con un comando inviato del server C&C.
Combattere il crimine organizzato dal tuo telefono
Uno dei problemi principali di Triada è che in teoria può attaccare un numero MOLTO ALTO di persone. Come abbiamo detto poc’anzi, Triada viene scaricato da un trojan più piccolo che è riuscito ad ottenere i privilegi di accesso. I nostri ricercatori hanno stimano che durante la seconda metà del 2015, un utente Android su 10 viene attaccato da uno o vari trojan di questo tipo. Ecco perché ci sono milioni di dispositivi che potrebbero essere infettati da Triada.
Quindi che cosa potete fare per proteggervi da questa minaccia furtiva?
- Non dimenticate mai di aggiornare il vostro sistema. Molti di questi piccoli trojan potrebbero avere dei seri problemi nel cercare di ottenere l’acceso root sulla versione 4.4.4 e superiore perché in queste versioni molte vulnerabilità sono state risolte con delle patch. Quindi se avete una versione Android 4.4.4 o una ancora più recente, le possibilità di essere infettati da Triada sono molte meno. In base alle nostre statistiche circa il 60% degli utenti Android ha ancora la versione 4.4.2.
2. Meglio stare dalla parte del sicuro sempre, indipendentemente della versione dell’OS. Quindi vi raccomandiamo di installare una soluzione anti-virus sul vostro dispositivo Android. Kaspersky Internet Security for Android inidvidua tutte i 3 moduli di Triada e non permetterà che i criminali mettano le mano sui vostri soldi. Non dimenticate che la scansione non si avvia in modo automatico nella versione gratuita.
Triada è la conferma di una tendenza molto preoccupante: gli sviluppatori di malware stanno prendendo sempre più di mira Android. Gli ultimi campioni sono complessi e difficili da individuare, come il loro fratelli più grandi per computer. L’unico modo per combattere tutte queste minacce è essere proattivi, installate e utilizzare una buona soluzione di sicurezza.