Un trojan, in ambito informatico, è un malware che si cela all’interno di un altro programma che a prima vista potrebbe sembrare utile e innocuo, ma che in realtà nasconde del codice che una volta avviato potrebbe consentire l’accesso al dispositivo o la possibilità di ottenere i privilegi di root che permettono un pieno controllo sulla macchina attaccata.
E’ questo il caso del trojan Triada, che sfruttando un processo di sistema denominato Zygote, il cui scopo è quello di lanciare diverse applicazioni all’interno di Android, riesce a far eseguire al dispositivo diverse attività all’insaputa dell’utente completamente ignaro dell’attacco.
Tra le varie pecurialità di Triada ci sono l’invisibilità, la persistenza e la modularità che gli permettono sia di sfuggire alla maggior parte degli antimalware sia di riuscire ad “aprire” una backdoor ed in seguito, attraverso la stessa, installare dei moduli che poi si occuperanno di scaricare, installare ed eseguire altre applicazioni oltre ovviamente ad ottenere i già menzionati privilegi di root.
La scoperta è tutt’altro che nuova e già a marzo del 2016 il trojan era stato identificato ed analizzato, tuttavia la recente variante di Triada presenta una caratteristica molto più pericolosa e subdola delle precedenti; infatti la nuova versione scoperta da Dr. Web, e denominata Android.Triada.231, viene inserita nella libreria di sistema libandroid_runtime.so durante la fase di produzione dei dispositivi che quindi vengono consegnati ai nuovi proprietari già infetti e col codice pronto ad entrare in azione.
I ricercatori di Dr Web affermano che a diffondere il malware sia una società di Shangai che lavora a stretto contatto con diversi produttori di smartphone cinesi e che avrebbe consigliato agli stessi produttori di inserire una loro applicazione all’interno del sistema operativo che ovviamente nasconde il codice malevolo. Chiaramente alcuni sospettano una connivenza degli stessi produttori o addirittura da parte dello Stato Cinese.
Ecco i dispositivi infetti scoperti finora:
- Leagoo;
- M5;
- M5 Plus;
- M5 Edge;
- M8;
- M8 Pro;
- Z5C;
- T1 Plus;
- Z3C;
- Z1C;
- M9.
- Doogee;
- X5 Max;
- X5 Max Pro;
- Shoot 1;
- Shoot 2.
- Advan;
- S5E NXT;
- S4Z;
- i5E.
- Cherry Mobile;
- Flare S5;
- Flare J2S;
- Flare P1.
- ARK Benefit M8;
- Zopo Speed 7 Plus;
- UHANS A101;
- Tecno W2;
- Homtom HT16;
- Umi London;
- Kiano Elegance 5.1;
- iLife Fivo Lite;
- Mito A39;
- Vertex Impress InTouch 4G;
- Vertex Impress Genius;
- myPhone Hammer Energy;
- STF AERIAL PLUS;
- STF JOY PRO;
- Tesla SP6.2;
- Cubot Rainbow;
- EXTREME 7;
- Haier T51;
- NOA H6;
- Pelitt T1 PLUS;
- Prestigio Grace M5 LTE;
- BQ 5510.
La lista è ancora provvisoria e non esaustiva e, secondo i ricercatori, tutti i possessori di smartphone cinesi sono potenzialmente delle vittime del trojan Triada.
Per ora soluzioni semplici e dirette non ci sono e il consiglio è quello di usare le solite procedure, che in questi casi prevedono una scansione approfondita con diversi antivirus (vi ricordiamo che l’individuazione di alcuni trojan è molto difficile dalla maggior parte degli antivirus anche se Dr Web assicura che il proprio antivirus riesca nell’individuazione di Android.Triada.231), scansione che per chi ha i privilegi di root del proprio dispositivo potrebbe risolvere il problema in maniera definitiva. Nel caso invece siate utenti esperti e vogliate essere sicuri vi consigliamo di installare una nuova immagine pulita del sistema da richiedere direttamente al produttore, con tutti i rischi del caso.
L’articolo La Triada attacca i cinesi proviene da F-Hack.
