Si chiama Triada il nuovo Trojan, scoperto dagli esperti di Kaspersky Lab, che prende di mira i dispositivi Android e può essere paragonato ai tanto temuti malware basati su Windows: è invisibile, modulare, persistente e scritto da cyber criminali professionisti. Particolarmente a rischio, secondo i tecnici, i dispositivi che integrano la versione 4.4.4. e quelle precedenti del sistema operativo.
Una delle principali funzionalità di Triada è la capacità di modificare gli Sms in uscita inviati da altre applicazioni: quando un utente fa acquisti in-app via Sms per giochi Android, i criminali possono modificare l’Sms in uscita in modo che il denaro vada a loro anziché allo sviluppatore del gioco.
Il nuovo Trojan fa parte della famiglia dei 20 più insidiosi malware per i dispositivi mobili nati nel 2015, tutti in grado di ottenere i diritti di accesso super-utente, che consentono agli hacker di installare applicazioni sul telefono senza che l’utente ne venga a conoscenza.
Il virus si diffonde attraverso alcune applicazioni scaricate o installate da fonti non affidabili, anche se a volte possono trovarsi nello store ufficiale Google Play “mascherate” da giochi o app per l’intrattenimento. I dispositivi infettati da questi trojan (Ztorg, Gorpo e Leechm tra le insidie più note) operano in collaborazione tra di loro, con i dispositivi infettati che si organizzano in una rete creando una sorta di botnet pubblicitaria che può essere sfruttata dai gruppi criminali per installare diversi tipi di adware. Il Trojan, inoltre, una volta entrato nello smartphone, scarica e installa una backdoor che attiva due moduli in grado di scaricare, installare e lanciare applicazioni.
Le funzionalità di invisibilità di questo malware sono molto avanzate, spiega Kaspersky lab in una nota: dopo essere entrato nel dispositivo dell’utente, Triada viene eseguito in quasi ogni processo di lavoro e continua ad esistere solamente nel registro delle attività. Ciò rende praticamente impossibile la rilevazione e l’eliminazione usando soluzioni antimalware. Triada opera silenziosamente, il che significa che tutte le attività nocive sono nascoste sia all’utente, sia alle altre applicazioni. Proprio questa caratteristica, e la complessità del sistema, “prova che dietro a questo malware ci siano cyber criminali professionisti – sottolinea la società – con una profonda comprensione della piattaforma mobile presa di mira”.
“Triada, nelle sue tre varianti Ztrog, Gorpo e Leech, segna una nuova fase nell’evoluzione delle minacce basate su Android – spiega Nikita Buchka, junior malware analyst di Kaspersky Lab – Sono i primi malware ampiamente diffusi in grado di incrementare i propri privilegi sulla maggior parte dei dispositivi. Quasi tutti gli utenti attaccati dai trojan erano situati in Russia, India e Ucraina, oltre ai Paesi dell’area Apac. È difficile sottostimare la minaccia di un’applicazione nociva che ottiene l’accesso di root al dispositivo. Il maggior rischio, come evidenziato dall’esempio di Triada, è che permettono ad applicazioni nocive molto più avanzate e pericolose di accedere al dispositivo”.
Disinstallare il malware dal dispositivo è molto difficile; ci sono due possibilità: “la prima – spiega la società specializzata in Antivirus – è ottenere l’accesso di root al device ed eliminare manualmente le applicazioni nocive, la seconda opzione è eseguire il jailbreak del sistema Android sul dispositivo”.
