blog.kaspersky.it

Triada: un trojan… in dotazione su smartphone Android | Blog ufficiale di Kaspersky

Una versione aggiornata del trojan mobile Triada è integrata nel firmware di smartphone venduti su store online. Ruba tutto ciò che può: dalle criptovalute agli account Telegram, WhatsApp e altri social media.

Apr 30, 2025 - 13:23
 0
Triada: un trojan… in dotazione su smartphone Android | Blog ufficiale di Kaspersky

Tipica scena alla cassa del supermercato: una volta passati gli articoli ci viene presentata un’occasione: “Oggi il cioccolato è in offerta speciale. Uno sconto imperdibile”. A essere fortunati, il cioccolato sarà delizioso e a un prezzo fantastico. Ma il più delle volte ci vedremo rifilare un prodotto che non vende bene: magari sta per scadere oppure ha qualche difetto nascosto.

Ora, immaginiamo di avere rifiutato l’offerta del cioccolato, ma che questo sia stato comunque infilato di nascosto nella borsa della spesa o, peggio ancora, in tasca, dove si è sciolto e ci ha rovinato i vestiti e la giornata. Qualcosa di simile è accaduto a coloro che hanno acquistato imitazioni di noti marchi di smartphone sui marketplace online. Non hanno ricevuto una confezione di cioccolato, bensì uno smartphone nuovo di zecca, nel cui firmware era nascosto il trojan Triada. Decisamente peggio che trovare cioccolato sciolto in tasca. I saldi in criptovalute di questi utenti, insieme ai loro account Telegram, WhatsApp e social media, potrebbero essere spariti prima ancora di poter esclamare “ho fatto un affare!”. Qualcuno potrebbe avere rubato i loro messaggi di testo e molto altro.

Triada? Cos’è?

È il nome che qui a Kaspersky abbiamo dato al trojan da noi stessi scoperto e descritto in dettaglio per la prima volta nel 2016. Questo malware per dispositivi mobili si infiltra in quasi tutti i processi in esecuzione, standosene esclusivamente nella RAM.

L’avvento di Triada ha segnato l’inizio di una nuova era nell’evoluzione delle minacce contro i dispositivi mobili Android. Prima di Triada, i trojan erano relativamente innocui: si limitavano a visualizzare annunci pubblicitari e a scaricare altri trojan. Questa nuova minaccia dimostrò che le cose non sarebbero più state le stesse.

Col tempo, gli sviluppatori Android hanno corretto le vulnerabilità sfruttate dalle prime versioni di Triada. Le ultime versioni di Android impediscono persino agli utenti con privilegi di root di modificare le partizioni di sistema. Sarà bastato a fermare i criminali informatici? Figuriamoci!

Facciamo un salto in avanti a marzo 2025, quando abbiamo scoperto una versione di Triada adattata per sfruttare le nuove restrizioni. L’autore della minaccia infetta il firmware prima ancora che gli smartphone vengano venduti. Preinstallato nelle partizioni di sistema, il malware risulta quasi impossibile da rimuovere.

Di cosa è capace questa nuova versione?

La nostra soluzione di sicurezza per Android, rileva la nuova versione di Triada come Backdoor.AndroidOS.Triada.z. È questa nuova versione a essere integrata nel firmware dei falsi smartphone Android venduti sui marketplace online. Può attaccare qualsiasi applicazione in esecuzione sul dispositivo. Ciò conferisce al trojan capacità praticamente illimitate. Può controllare messaggi di testo e chiamate, rubare criptovalute, scaricare ed eseguire altre applicazioni, sostituire link nei browser, inviare furtivamente sotto falso nome messaggi nelle app di chat e violare account di social media.

Una copia di Triada si infiltra in tutte le app avviate su un dispositivo infetto. Oltre a ciò, il trojan include moduli specializzati che prendono di mira le app più diffuse. Non appena l’utente scarica un’app legittima come Telegram o TikTok, il trojan si integra al suo interno e inizia a causare danni.

Telegram. Triada scarica due moduli per compromettere Telegram. Il primo avvia un’attività dannosa una volta al giorno, connettendosi a un server di comando e controllo (C2). L’attività invia ai criminali il numero di telefono della vittima, con tanto di dati di autenticazione completi, incluso il token di accesso. Il secondo modulo filtra tutti i messaggi interagendo con un bot (che non esisteva al momento della nostra ricerca) ed eliminando le notifiche sui nuovi accessi a Telegram.

Instagram. Una volta al giorno il trojan esegue un’attività dannosa per cercare cookie di sessione attivi e inoltrare i dati agli autori degli attacchi. Questi file aiuteranno poi i criminali ad assumere il controllo totale dell’account.

Browser. Triada minaccia numerosi browser: Chrome, Opera, Mozilla e altri. L’elenco completo è disponibile nell’articolo di Securelist. Per ora il modulo si connette al server C2 tramite TCP e reindirizza casualmente i link legittimi nei browser verso siti pubblicitari. Tuttavia, poiché il trojan scarica i link di reindirizzamento dal suo server C2, gli autori degli attacchi sono liberi in qualsiasi momento di indirizzare gli utenti verso siti di phishing.

WhatsApp. Anche in questo caso ci sono due moduli. Il primo raccoglie e invia ogni cinque minuti dati sulla sessione attiva al server C2, consentendo agli autori degli attacchi di avere pieno accesso all’account della vittima. Il secondo intercetta le funzioni client per l’invio e la ricezione di messaggi, consentendo al malware di inviare e poi eliminare messaggi istantanei arbitrari per coprire le proprie tracce.

LINE. Il modulo Triada dedicato raccoglie ogni 30 secondi i dati interni dell’app, inclusi i dati di autenticazione (token di accesso) e li inoltra al server C2. Anche in questo caso, il controllo totale dell’account dell’utente viene assunto da un’altra persona.

Skype. Sebbene Skype stia per essere ritirato, Triada contiene un modulo per infettarlo. Triada usa diversi metodi per ottenere il token di autenticazione e poi lo invia al server C2.

TikTok. Questo modulo può raccogliere molti dati sull’account della vittima dai cookie nella directory interna, e può anche estrarre i dati necessari per comunicare con l’API di TikTok.

Facebook. Triada è dotato di due moduli per questa app. Uno ruba i cookie di autenticazione, l’altro invia informazioni sul dispositivo infetto al server C2.

Naturalmente sono disponibili anche moduli per SMS e chiamate. Il modulo per SMS consente al malware di filtrare tutti i messaggi in arrivo ed estrarne i codici, rispondere ad alcuni messaggi (tipicamente per iscrivere le vittime a servizi a pagamento) e inviare messaggi SMS arbitrari quando richiesto dal server C2. Un secondo modulo (ausiliario) disattiva la protezione integrata in Android contro i trojan SMS che richiedono l’autorizzazione dell’utente prima di inviare messaggi a codici brevi (SMS Premium), che potrebbero essere utilizzati per confermare abbonamenti a pagamento.

Il modulo di chiamata si integra nell’app del telefono, ma pensiamo che sia ancora in fase di sviluppo. Abbiamo scoperto che attua solo parzialmente lo spoofing dei numeri di telefono, ma prevediamo che presto saprà farlo completamente.

Un altro modulo, un reverse proxy, trasforma lo smartphone della vittima in un server cosiddetto “reverse proxy”, consentendo agli autori degli attacchi di accedere a indirizzi IP arbitrari all’insaputa della vittima.

Come prevedibile, Triada si rivolge anche ai possessori di criptovalute, riservando loro una sorpresa speciale: un clipper. Il trojan esamina la clipboard alla ricerca di indirizzi di criptovalute, sostituendoli con un indirizzo dell’autore dell’attacco. Un ladro di criptovalute analizza l’attività della vittima, sostituendo ovunque possibile gli indirizzi dei portafogli di criptovalute con indirizzi fraudolenti ogni volta che viene effettuato un tentativo di prelevare criptovalute. Interferisce perfino con i gestori dei pulsanti all’interno delle app e sostituisce le immagini con codici QR generati che rimandano a indirizzi dei portafogli degli autori degli attacchi. Utilizzando questi strumenti, dal 13 giugno 2024 i criminali sono riusciti a rubare più di 264.000 dollari in varie criptovalute.

Consulta il nostro report Securelist per un elenco completo delle funzionalità di Triada e un’analisi tecnica dettagliata.

Come il malware si infiltra negli smartphone

In tutti i casi di infezione di cui siamo a conoscenza, il nome del firmware sul dispositivo differiva da quello ufficiale per una sola lettera. Ad esempio, il firmware ufficiale era TGPMIXM, mentre i telefoni infetti recavano TGPMIXN. Abbiamo trovato post su forum di discussione pertinenti in cui gli utenti lamentavano dispositivi contraffatti acquistati negli store online.

È probabile che una fase della catena di fornitura sia stata compromessa e che gli store non avessero idea di stare distribuendo dispositivi infetti da Triada. In ogni caso è praticamente impossibile stabilire con esattezza quando il malware sia stato inserito negli smartphone.

Come proteggersi da Triada?

La nuova versione del trojan è stata trovata preinstallata su dispositivi contraffatti. Pertanto, il modo migliore per evitare l’infezione da Triada è acquistare smartphone solo da rivenditori autorizzati. Se si sospetta che un telefono sia stato infettato da Triada (o da un altro trojan), ecco i nostri consigli.

  • Meglio evitare di usare una qualsiasi delle app potenzialmente compromesse elencate sopra o di effettuare transazioni finanziarie, comprese quelle con criptovalute.
  • Installa Kaspersky per Android sullo smartphone per verificare se è effettivamente infetto.
  • Se Triada viene rilevato sul dispositivo, esegui autonomamente il refresh dello smartphone con il firmware ufficiale oppure contatta il centro di assistenza locale. Aspettati cambiamenti improvvisi nelle specifiche dello smartphone: oltre al trojan preinstallato, il firmware falso spesso ingigantisce i valori della RAM e dello spazio di archiviazione.
  • Se uno smartphone risulta infetto da Triada, è bene controllare tutte le app di messaggistica e social media che potrebbero essere state compromesse. Per le app di chat, assicurati di terminare tutte le sessioni ancora in corso su dispositivi che non riconosci e controlla le impostazioni sulla privacy seguendo la nostra guida Hijacking di account WhatsApp e Telegram: come proteggersi dalle truffe. Se sospetti che i tuoi account di messaggistica istantanea siano stati violati, leggi Cosa fare in caso di violazione dell’account WhatsApp o Cosa fare in caso di violazione dell’account Telegram. Interrompi tutte le sessioni dei social media su tutti i tuoi dispositivi e cambia le tue password. Kaspersky Password Manager può aiutarti.
  • Il nostro portale Privacy Checker offre una guida dettagliata sulla configurazione della privacy in varie applicazioni e sistemi operativi in generale.

Triada non è l’unico trojan per dispositivi mobili. Segui questi link per leggere i nostri articoli su altri malware Android:

Leggi Di Più

Tag:

Articolo precedente

TRUMP: vendite sospette del token dopo l’invito a cena e il rally del prezzo

Articolo successivo

Linux Live USB persistente: cos’è e come crearla

Articoli Correlati

Cosa succede al computer se si scarica software pirata | Blog ufficiale di Kaspersky

Cosa succede al computer se si scarica software pirata ...

Apr 26, 2025  0

12 consigli su come usare WhatsApp, Telegram, Signal, Viber, WeChat e altre app di messaggistica in modo sicuro | Blog ufficiale di Kaspersky

12 consigli su come usare WhatsApp, Telegram, Signal, V...

Apr 30, 2025  0

Fuga di dati di Gravy Analytics: come proteggere i dati sulla posizione | Blog ufficiale di Kaspersky

Fuga di dati di Gravy Analytics: come proteggere i dati...

Apr 30, 2025  0