{"id":7640,"date":"2016-03-03T13:09:47","date_gmt":"2016-03-03T13:09:47","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7640"},"modified":"2019-11-22T11:24:29","modified_gmt":"2019-11-22T09:24:29","slug":"triada-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/triada-trojan\/7640\/","title":{"rendered":"Triada: il crimine organizzato attacca Android"},"content":{"rendered":"<p>Sicuramente saprete come si muove l\u2019esercito sul campo di battaglia: prima si manda una truppa in esplorazione per controllare che tutto sia ok, poi arriva l\u2019artiglieria pesante (almeno era cos\u00ec prima dell\u2019avvento della guerra cibernetica). I trojan funzionano nello stesso modo.<\/p>\n<p>Esistono un sacco di tipi di trojan per Android capaci di ottenere i privilegi di accesso, ovvero l\u2019accesso root. I nostri analisti malware Nikita Buchka e Mikhail Kuzin hanno rintracciato ben 11 famiglie di questa tipologia di trojan. Molti di loro sono innocui; tutto quello che fanno \u00e8 riempire le loro vittime di pubblicit\u00e0 e fargli scaricare altri trojan dello stesso genere. Se volete saperne di pi\u00f9, potete trovare su <a href=\"https:\/\/securelist.com\/blog\/mobile\/71981\/taking-root\/\" target=\"_blank\" rel=\"noopener\">Securelist un articolo molto interessante<\/a> (in inglese).<\/p>\n<p>Riprendendo di nuovo la metafora militare, i trojan appena menzionati sono le truppe che vanno in esplorazione. Come probabilmente avrete notato, ottenere l\u2019accesso root d\u00e0 loro l\u2019opportunit\u00e0 di scaricare e installare molte applicazioni (ecco perch\u00e9 una volta che uno di questi trojan entra nel vostro dispositivo, ne arriveranno presto molti altri). Tuttavia, i nostri ricercatori avvertono che presto questi piccoli trojan verranno sicuramente utilizzati per scaricare malware molto pericolosi e mettere in serio pericolo i dispositivi delle loro vittime.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Dangerous trends taking root in <a href=\"https:\/\/twitter.com\/hashtag\/mobile?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#mobile<\/a> phones <a href=\"https:\/\/t.co\/DkLD8KhSuk\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/DkLD8KhSuk<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/research?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#research<\/a> <a href=\"http:\/\/t.co\/wc3NfSSv3Z\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/wc3NfSSv3Z<\/a><\/p>\n<p>\u2014 Securelist (@Securelist) <a href=\"https:\/\/twitter.com\/Securelist\/status\/636925849455996928?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 27, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Questo \u00e8 proprio quello che \u00e8 successo di recente. Piccoli trojan come Leech, Ztorg e Gopro possono scaricare uno dei malware <em>mobile<\/em> pi\u00f9 avanzati che i nostri analisti malware abbiano mai visto: si chiama Triada.<\/p>\n<p>Triada \u00e8 un trojan <em>mobile<\/em> modulare che utilizza i privilegi root per sostituire i file di sistema; questo trojan si instaura soprattutto nella RAM dei dispositivi e questo rende pi\u00f9 difficile la sua individuazione.<\/p>\n<p><strong>Le vie oscure di Triada<\/strong><\/p>\n<p>Una volta scaricato e installato, il trojan Triada cerca prima di tutto di raccogliere qualche informazione sul sistema, per esempio modello del dispositivo, versione del sistema operativo, la capacit\u00e0 di memoria della scheda SD, nonch\u00e9 la lista delle applicazioni installate e altre cose. Poi si inviano tutte queste informazioni al server Command &amp; Control. Abbiamo rintracciato un totale di 17 server C&amp;C su 4 diversi domini.<\/p>\n<p>I server C&amp;C rispondono a un file di configurazione che contiene il numero di identificazione personale di ogni dispositivo e altre impostazioni (l\u2019intervallo di tempo utilizzato per contattare il server, la lista dei moduli da installare e cos\u00ec via). Una volta che i moduli sono stati installati, vengono utilizzati dalla memoria a breve termine e cancellati dallo storage, il che rende il trojan molto pi\u00f9 difficile da catturare.<\/p>\n<p>Ci sono altre due ragioni per cui Triada \u00e8 cos\u00ec difficile da individuare e ha di conseguenza colpito cos\u00ec tanto i nostri ricercatori. In primo luogo perch\u00e9 modifica il <a href=\"https:\/\/anatomyofandroid.com\/2013\/10\/15\/zygote\/\" target=\"_blank\" rel=\"noopener nofollow\">processo Zygote<\/a>. Il processo Zygote \u00e8 il processo padre per tutte le applicazioni Android; esso contiene le librerie di sistema ed i framework utilizzati praticamente da tutte le app. Questo significa che una volta che il trojan entra in Zygote, diventa parte di qualsiasi app che viene lanciata dal dispositivo.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-7642\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/03\/05235152\/triada-zygote-IT.png\" alt=\"triada-zygote-IT\" width=\"2536\" height=\"3304\"><\/p>\n<p>In secondo luogo, il trojan sostituisce le funzioni del sistema e nasconde i propri moduli dalla lista dei processi attivi e app installate. In questo modo il sistema non vede nessun processo attivo sospetto e non viene lanciato l\u2019allarme.<\/p>\n<p>Queste non sono le uniche funzionalit\u00e0 di sistema che Triada modifica. Come hanno scoperto i nostri ricercatori, altera anche gli SMS in uscita e filtra quelli in arrivo. Questo \u00e8 esattamente il modo mediante il quale i criminali riescono a guadagnare soldi con il trojan.<\/p>\n<p>Alcune applicazioni ricorrono agli SMS in merito agli acquisti in-app; i dati delle transazioni vengono trasferiti via messaggio di testo. La ragione principale per la quale i ricercatori hanno scelto gli SMS rispetto ai pagamenti tradizionali \u00e8 che con gli SMS non \u00e8 necessaria nessuna connessione a Internet. Gli utenti non vedono questi SMS perch\u00e9 sono processati non dall\u2019app interna degli SMS, ma dall\u2019app che ha iniziato la transazione (per esempio, un gioco gratuito).<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">A SMS <a href=\"https:\/\/twitter.com\/hashtag\/Trojan?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Trojan<\/a> Bypasses <a href=\"https:\/\/twitter.com\/hashtag\/CAPTCHA?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#CAPTCHA<\/a> and Steals Money: <a href=\"https:\/\/t.co\/9fjQ0PwZuw\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/9fjQ0PwZuw<\/a> <a href=\"http:\/\/t.co\/r5jKqQUc3y\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/r5jKqQUc3y<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/578254848203837440?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 18, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Triada, inoltre, permette di modificare questi messaggi di modo che i soldi vengano inviati non allo sviluppatore dell\u2019app, ma a quelli del malware. Triada ruba i soldi sia agli utenti (nel caso non siano riusciti ad acquistare quello che volevano) che ai <em>developer <\/em>delle app, nel caso l\u2019utente abbia completato l\u2019acquisto con successo.<\/p>\n<p>Al momento, \u00e8 l\u2019unico modo in cui i cybercriminali riescono a trarre profitto da Triada, non dimenticate che si tratta di un trojan modulare e pu\u00f2 infiltrarsi dappertutto solo con un comando inviato del server C&amp;C.<\/p>\n<p><strong>Combattere il crimine organizzato dal tuo telefono<\/strong><\/p>\n<p>Uno dei problemi principali di Triada \u00e8 che in teoria pu\u00f2 attaccare un numero MOLTO ALTO di persone. Come abbiamo detto poc\u2019anzi, Triada viene scaricato da un trojan pi\u00f9 piccolo che \u00e8 riuscito ad ottenere i privilegi di accesso. I nostri ricercatori hanno stimano che durante la seconda met\u00e0 del 2015, un utente Android su 10 viene attaccato da uno o vari trojan di questo tipo. Ecco perch\u00e9 ci sono milioni di dispositivi che potrebbero essere infettati da Triada.<\/p>\n<p>Quindi che cosa potete fare per proteggervi da questa minaccia furtiva?<\/p>\n<ol>\n<li>Non dimenticate mai di aggiornare il vostro sistema. Molti di questi piccoli trojan potrebbero avere dei seri problemi nel cercare di ottenere l\u2019acceso root sulla versione 4.4.4 e superiore perch\u00e9 in queste versioni molte vulnerabilit\u00e0 sono state risolte con delle patch. Quindi se avete una versione Android 4.4.4 o una ancora pi\u00f9 recente, le possibilit\u00e0 di essere infettati da Triada sono molte meno. In base alle nostre statistiche circa il 60% degli utenti Android ha ancora la versione 4.4.2.<\/li>\n<\/ol>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-7644\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/03\/05235149\/01_it.png\" alt=\"01_it\" width=\"1196\" height=\"934\"><\/p>\n<p>2. Meglio stare dalla parte del sicuro sempre, indipendentemente della versione dell\u2019OS. Quindi vi raccomandiamo di installare una soluzione anti-virus sul vostro dispositivo Android. <a href=\"http:\/\/app.appsflyer.com\/com.kms.free?pid=smm&amp;c=kd-com\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security for Android<\/a> inidvidua tutte i 3 moduli di Triada e non permetter\u00e0 che i criminali mettano le mano sui vostri soldi. Non dimenticate che la scansione non si avvia in modo automatico nella versione gratuita.<\/p>\n<p>Triada \u00e8 la conferma di una tendenza molto preoccupante: gli sviluppatori di malware stanno prendendo sempre pi\u00f9 di mira Android. Gli ultimi campioni sono complessi e difficili da individuare, come il loro fratelli pi\u00f9 grandi per computer. L\u2019unico modo per combattere tutte queste minacce \u00e8 essere proattivi, installate e utilizzare una buona soluzione di sicurezza.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Triada \u00e8 un trojan mobile modulare che usa i privilegi root per sostituire i file di sistema, e impiega vari metodi per nascondersi e diventare invisibile. Scoprine di pi\u00f9 qui! <\/p>\n","protected":false},"author":696,"featured_media":7643,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[70,22,1889,1020,1888],"class_list":{"0":"post-7640","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-android","10":"tag-malware-2","11":"tag-triada","12":"tag-trojan-sms","13":"tag-trojans"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/triada-trojan\/7640\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/triada-trojan\/6802\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/triada-trojan\/6858\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/triada-trojan\/6782\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/triada-trojan\/7884\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/triada-trojan\/11102\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/triada-trojan\/11481\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/triada-trojan\/6083\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/triada-trojan\/10644\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/triada-trojan\/11102\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/triada-trojan\/11481\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/triada-trojan\/11481\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7640"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7640\/revisions"}],"predecessor-version":[{"id":18922,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7640\/revisions\/18922"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7643"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}