1 marzo 2018

A metà 2017 gli specialisti Doctor Web hanno informato della scoperta di un nuovo trojan, Android.Triada.231, incorporato nei firmware di alcuni modelli di smartphone Android venduti a prezzi accessibili. Dalla scoperta del programma malevolo veniva continuamente integrato l'elenco dei modelli di dispositivi infetti il quale al momento ne conta più di 40. Doctor Web seguiva da vicino questo trojan e adesso pubblica i risultati della ricerca.

Android.Triada.231 – un campione della pericolosa famiglia di trojan Android.Triada. Questi trojan infettano il processo di un importante componente del sistema operativo Android con il nome di Zygote il quale partecipa all'avvio di tutti i programmi. I trojan incorporati in questo modulo si infiltrano nei processi delle altre applicazioni in esecuzione e possono eseguire varie azioni dannose senza la partecipazione dell'utente. Per esempio, possono scaricare e avviare software in modo impercettibile. La particolarità di Android.Triada.231 consiste nel fatto che gli autori dei virus incorporano questo trojan nella libreria di sistema libandroid_runtime.so a livello di codice sorgente, anziché distribuirlo come un software separato. Come risultato delle azioni dei malintenzionati, l'applicazione malevola "si insedia" direttamente nel firmware dei dispositivi mobili che sono infettati già in fase di produzione, e gli utenti acquistano smartphone inizialmente compromessi.

Subito dopo il rilevamento di Android.Triada.231 l'estate scorsa l'azienda Doctor Web ne ha informato i produttori dei dispositivi infetti. Tuttavia, nonostante la tempestiva notifica, il programma malevolo continua a essere inclusa in nuovi modelli di smartphone. Per esempio, il malware è stato trovato sullo smartphone Leagoo M9 annunciato a dicembre 2017. L'indagine condotta rivela che il trojan è stato aggiunto al firmware su richiesta di un partner di Leagoo, un'azienda sviluppatrice di Shanghai. Questa organizzazione ha fornito una delle sue applicazioni per l'inclusione nell'immagine del sistema operativo dei dispositivi mobili, nonché le istruzioni per l'aggiunta di codice di terze parti alle librerie di sistema prima dell'assemblaggio (compilazione). Purtroppo, tale richiesta discutibile non ha suscitato alcun sospetto nel produttore, e Android.Triada.231 si è infiltrato senza impedimenti sugli smartphone.

L'analisi dell'applicazione, offerta dall'azienda partner per l'integrazione nel firmware di Leagoo M9, mostra che è firmata dallo stesso certificato del trojan Android.MulDrop.924, di cui Doctor Web informava già nel 2016. Possiamo supporre che lo sviluppatore che ha chiesto di inserire un programma aggiuntivo nell'immagine del sistema operativo, possa essere direttamente o indirettamente coinvolto nella diffusione di Android.Triada.231

Per il momento gli analisti di virus hanno rilevato Android.Triada.231 nel firmware di oltre 40 modelli di dispositivi Android:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

Questa lista non è definitiva, l'elenco dei modelli di smartphone infetti può essere ancora più ampio.

Questa vasta diffusione di Android.Triada.231 mostra che molti produttori di dispositivi Android non prestano sufficiente attenzione ai problemi di sicurezza, e l'integrazione di un codice trojan nei componenti di sistema per errore o intento malevolo può essere una pratica assai comune.

I prodotti Dr.Web per Android rilevano tutte le varianti conosciute di Android.Triada.231, dunque, per scoprire se un dispositivo mobile è infetto, è necessario eseguire la scansione completa del dispositivo. Dr.Web Security Space per Android, con la presenza dei permessi di root, è in grado di neutralizzare Android.Triada.231 curando il componente di sistema infetto. Se sul dispositivo infetto non sono disponibili i permessi di root, aiuterà a liberarsi dal programma malevolo l'installazione di un'immagine pulita del sistema operativo, che dovrebbe essere fornita dal produttore dello smartphone.

Informazioni sul trojan