{"id":29611,"date":"2025-04-30T13:51:50","date_gmt":"2025-04-30T11:51:50","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29611"},"modified":"2025-04-30T13:51:07","modified_gmt":"2025-04-30T11:51:07","slug":"trojan-in-fake-smartphones","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/trojan-in-fake-smartphones\/29611\/","title":{"rendered":"Trojan integrato in falsi smartphone Android"},"content":{"rendered":"

Tipica scena alla cassa del supermercato: una volta passati gli articoli ci viene presentata un\u2019occasione: \u201cOggi il cioccolato \u00e8 in offerta speciale. Uno sconto imperdibile\u201d. A essere fortunati, il cioccolato sar\u00e0 delizioso e a un prezzo fantastico. Ma il pi\u00f9 delle volte ci vedremo rifilare un prodotto che non vende bene: magari sta per scadere oppure ha qualche difetto nascosto.<\/p>\n

Ora, immaginiamo di avere rifiutato l\u2019offerta del cioccolato, ma che questo sia stato comunque infilato di nascosto nella borsa della spesa o, peggio ancora, in tasca, dove si \u00e8 sciolto e ci ha rovinato i vestiti e la giornata. Qualcosa di simile \u00e8 accaduto a coloro che hanno acquistato imitazioni di noti marchi di smartphone sui marketplace online. Non hanno ricevuto una confezione di cioccolato, bens\u00ec uno smartphone nuovo di zecca, nel cui firmware era nascosto il trojan Triada. Decisamente peggio che trovare cioccolato sciolto in tasca. I saldi in criptovalute di questi utenti, insieme ai loro account Telegram, WhatsApp e social media, potrebbero essere spariti prima ancora di poter esclamare \u201cho fatto un affare!\u201d. Qualcuno potrebbe avere rubato i loro messaggi di testo e molto altro.<\/p>\n

Triada? Cos\u2019\u00e8?<\/h2>\n

\u00c8 il nome che qui a Kaspersky abbiamo dato al trojan da noi stessi scoperto e descritto in dettaglio<\/a> per la prima volta nel 2016. Questo malware per dispositivi mobili si infiltra in quasi tutti i processi in esecuzione, standosene esclusivamente nella RAM.<\/p>\n

L\u2019avvento di Triada ha segnato l\u2019inizio di una nuova era nell\u2019evoluzione delle minacce contro i dispositivi mobili Android. Prima di Triada, i trojan erano relativamente innocui: si limitavano a visualizzare annunci pubblicitari e a scaricare altri trojan. Questa nuova minaccia dimostr\u00f2 che le cose non sarebbero pi\u00f9 state le stesse.<\/p>\n

Col tempo, gli sviluppatori Android hanno corretto le vulnerabilit\u00e0 sfruttate dalle prime versioni di Triada. Le ultime versioni di Android impediscono persino agli utenti con privilegi di root di modificare le partizioni di sistema. Sar\u00e0 bastato a fermare i criminali informatici? Figuriamoci!<\/p>\n

Facciamo un salto in avanti a marzo 2025, quando abbiamo scoperto una versione di Triada adattata per sfruttare le nuove restrizioni. L\u2019autore della minaccia infetta il firmware prima ancora che gli smartphone vengano venduti. Preinstallato nelle partizioni di sistema, il malware risulta quasi impossibile da rimuovere.<\/p>\n

Di cosa \u00e8 capace questa nuova versione?<\/h2>\n

La nostra soluzione di sicurezza per Android,<\/a> rileva la nuova versione di Triada come Backdoor.AndroidOS.Triada.z<\/strong>. \u00c8 questa nuova versione a essere integrata nel firmware dei falsi smartphone Android venduti sui marketplace online. Pu\u00f2 attaccare qualsiasi<\/em> applicazione in esecuzione sul dispositivo. Ci\u00f2 conferisce al trojan capacit\u00e0 praticamente illimitate. Pu\u00f2 controllare messaggi di testo e chiamate, rubare criptovalute, scaricare ed eseguire altre applicazioni, sostituire link nei browser, inviare furtivamente sotto falso nome messaggi nelle app di chat e violare account di social media.<\/p>\n

Una copia di Triada si infiltra in tutte le app avviate su un dispositivo infetto. Oltre a ci\u00f2, il trojan include moduli specializzati che prendono di mira le app pi\u00f9 diffuse. Non appena l\u2019utente scarica un\u2019app legittima come Telegram o TikTok, il trojan si integra al suo interno e inizia a causare danni.<\/p>\n

Telegram. <\/strong>Triada scarica due moduli per compromettere Telegram. Il primo avvia un\u2019attivit\u00e0 dannosa una volta al giorno, connettendosi a un server di comando e controllo (C2). L\u2019attivit\u00e0 invia ai criminali il numero di telefono della vittima, con tanto di dati di autenticazione completi, incluso il token di accesso. Il secondo modulo filtra tutti i messaggi interagendo con un bot (che non esisteva al momento della nostra ricerca) ed eliminando le notifiche sui nuovi accessi a Telegram.<\/p>\n

Instagram.<\/strong> Una volta al giorno il trojan esegue un\u2019attivit\u00e0 dannosa per cercare cookie di sessione attivi e inoltrare i dati agli autori degli attacchi. Questi file aiuteranno poi i criminali ad assumere il controllo totale dell\u2019account.<\/p>\n

Browser. <\/strong>Triada minaccia numerosi browser: Chrome, Opera, Mozilla e altri. L\u2019elenco completo \u00e8 disponibile nell\u2019articolo di Securelist<\/a>. Per ora il modulo si connette al server C2 tramite TCP e reindirizza casualmente i link legittimi nei browser verso siti pubblicitari. Tuttavia, poich\u00e9 il trojan scarica i link di reindirizzamento dal suo server C2, gli autori degli attacchi sono liberi in qualsiasi momento di indirizzare gli utenti verso siti di phishing.<\/p>\n

WhatsApp.<\/strong> Anche in questo caso ci sono due moduli. Il primo raccoglie e invia ogni cinque minuti dati sulla sessione attiva al server C2, consentendo agli autori degli attacchi di avere pieno accesso all\u2019account della vittima. Il secondo intercetta le funzioni client per l\u2019invio e la ricezione di messaggi, consentendo al malware di inviare e poi eliminare messaggi istantanei arbitrari per coprire le proprie tracce.<\/p>\n

LINE.<\/strong> Il modulo Triada dedicato raccoglie ogni 30 secondi i dati interni dell\u2019app, inclusi i dati di autenticazione (token di accesso) e li inoltra al server C2. Anche in questo caso, il controllo totale dell\u2019account dell\u2019utente viene assunto da un\u2019altra persona.<\/p>\n

Skype.<\/strong> Sebbene Skype stia per essere ritirato<\/a>, Triada contiene un modulo per infettarlo. Triada usa diversi metodi per ottenere il token di autenticazione e poi lo invia al server C2.<\/p>\n

TikTok. <\/strong>Questo modulo pu\u00f2 raccogliere molti dati sull\u2019account della vittima dai cookie nella directory interna, e pu\u00f2 anche estrarre i dati necessari per comunicare con l\u2019API di TikTok.<\/p>\n

Facebook. <\/strong>Triada \u00e8 dotato di due moduli per questa app. Uno ruba i cookie di autenticazione, l\u2019altro invia informazioni sul dispositivo infetto al server C2.<\/p>\n

Naturalmente sono disponibili anche moduli per SMS e chiamate<\/strong>. Il modulo per SMS<\/strong> consente al malware di filtrare tutti i messaggi in arrivo ed estrarne i codici, rispondere ad alcuni messaggi (tipicamente per iscrivere le vittime a servizi a pagamento) e inviare messaggi SMS arbitrari quando richiesto dal server C2. Un secondo modulo (ausiliario) disattiva la protezione integrata in Android contro i trojan SMS che richiedono l\u2019autorizzazione dell\u2019utente prima di inviare messaggi a codici brevi (SMS Premium), che potrebbero essere utilizzati per confermare abbonamenti a pagamento.<\/p>\n

Il modulo di chiamata<\/strong> si integra nell\u2019app del telefono, ma pensiamo che sia ancora in fase di sviluppo. Abbiamo scoperto che attua solo parzialmente lo spoofing dei numeri di telefono, ma prevediamo che presto sapr\u00e0 farlo completamente.<\/p>\n

Un altro modulo, un reverse proxy<\/strong>, trasforma lo smartphone della vittima in un server cosiddetto \u201creverse proxy\u201d, consentendo agli autori degli attacchi di accedere a indirizzi IP arbitrari all\u2019insaputa della vittima.<\/p>\n

Come prevedibile, Triada si rivolge anche ai possessori di criptovalute, riservando loro una sorpresa speciale: un clipper<\/strong>. Il trojan esamina la clipboard alla ricerca di indirizzi di criptovalute, sostituendoli con un indirizzo dell\u2019autore dell\u2019attacco. Un ladro di criptovalute<\/strong> analizza l\u2019attivit\u00e0 della vittima, sostituendo ovunque possibile gli indirizzi dei portafogli di criptovalute con indirizzi fraudolenti ogni volta che viene effettuato un tentativo di prelevare criptovalute. Interferisce perfino con i gestori dei pulsanti all\u2019interno delle app e sostituisce le immagini con codici QR generati che rimandano a indirizzi dei portafogli degli autori degli attacchi. Utilizzando questi strumenti, dal 13 giugno 2024 i criminali sono riusciti a rubare pi\u00f9 di 264.000 dollari in varie criptovalute.<\/p>\n

Consulta il nostro report Securelist<\/a> per un elenco completo delle funzionalit\u00e0 di Triada e un\u2019analisi tecnica dettagliata.<\/p>\n

Come il malware si infiltra negli smartphone<\/h2>\n

In tutti i casi di infezione di cui siamo a conoscenza, il nome del firmware sul dispositivo differiva da quello ufficiale per una sola lettera. Ad esempio, il firmware ufficiale era TGPMIXM<\/strong>, mentre i telefoni infetti recavano TGPMIXN<\/strong>. Abbiamo trovato post su forum di discussione pertinenti in cui gli utenti lamentavano dispositivi contraffatti acquistati negli store online.<\/p>\n

\u00c8 probabile che una fase della catena di fornitura sia stata compromessa e che gli store non avessero idea di stare distribuendo dispositivi infetti da Triada. In ogni caso \u00e8 praticamente impossibile stabilire con esattezza quando il malware sia stato inserito negli smartphone.<\/p>\n

Come proteggersi da Triada?<\/h2>\n

La nuova versione del trojan \u00e8 stata trovata preinstallata su dispositivi contraffatti. Pertanto, il modo migliore per evitare l\u2019infezione da Triada \u00e8 acquistare smartphone solo da rivenditori autorizzati. Se si sospetta che un telefono sia stato infettato da Triada (o da un altro trojan), ecco i nostri consigli.<\/p>\n