Ognuno vede… non quello che vuole vedere

Verso la fine del primo trimestre dell’anno in corso, Kaspersky Lab ha scoperto il Trojan modulare Backdoor.AndroidOS.Triada, in grado di fornire ai Trojan caricati sul dispositivo-vittima (payload nocivo) i diritti di superutente e la possibilità di introdursi nei processi di sistema. Di lì a poco, il 15 marzo, abbiamo individuato uno di tali moduli, il quale consentiva, di fatto, di poter realizzare un pericoloso attacco, ovvero la sostituzione degli URL caricati nel browser.

Il modulo nocivo da noi scoperto è costituito da più parti, rilevate da Kaspersky Lab come Backdoor.AndroidOS.Triada.p/o/q. Una volta ottenuti i diritti di superutente, tramite gli strumenti standard di debugging Linux, esso inietta la propria libreria (Triada.q, che in seguito provvede a caricare Triada.o) nei processi dei seguenti browser:

  • com.android.browser (browser standard di Android)
  • com.qihoo.browser (360 Secure Browser)
  • com.ijinshan.browser_fast (Cheetah browser)
  • com.oupeng.browser (Oupeng browser)

La libreria intercetta l’URL che sta per essere aperto sul browser dell’utente, lo analizza e, se necessario, può sostituirlo con qualsiasi altro indirizzo Internet. Le “regole” da utilizzare per la sostituzione dell’URL vengono scaricate dal server C&C, mentre il modulo è in azione.

Schema dell’attacco

In un sistema non infetto, il browser, attraverso Internet, invia una richiesta con l’indirizzo URL al server web, ricevendo, in risposta, la pagina desiderata.

1_it

Dopo che il malware Triada ha infettato il dispositivo, invece, al processo del browser viene aggiunta una libreria malevola, preposta ad intercettare gli URL. In questo modo, la query relativa all’indirizzo Internet va a finire in tale libreria, dove viene modificata, per poi essere inviata verso un altro server web.

2_it

Il risultato di tutto ciò è che il browser non riceve i dati che l’utente ha effettivamente richiesto; quest’ultimo, quindi, viene diretto verso una pagina web completamente diversa.

Attualmente, questo schema maligno viene utilizzato dai virus writer sia per modificare il search engine predefinito, selezionato nel browser dell’utente, sia per sostituire la home page iniziale. Si tratta, in pratica, delle stesse azioni compiute da numerosi programmi adware destinati all’OS Windows. Ad ogni caso, in teoria, nulla potrebbe impedire ai malintenzionati di realizzare attacchi informatici analoghi, ma con fini ben diversi. I cybercriminali, in effetti, potrebbero intercettare qualsiasi URL, incluso quelli legati alla sfera bancaria, oppure potrebbero reindirizzare gli utenti-vittima verso un’insidiosa pagina di phishing, e via dicendo. Per far ciò, sarebbe sufficiente, per i malfattori, impartire il relativo comando alla propria “creatura”.

Nel periodo in cui sono state effettuate le nostre osservazioni, il modulo in questione ha attaccato 247 utenti; l’intensità degli attacchi da esso portati, peraltro, non accenna a diminuire. Il numero delle varianti di tale malware è comunque piuttosto limitato; con ogni probabilità, nonostante la tecnologia impiegata si riveli indubbiamente essere di tipo “avanzato”, gli autori della backdoor hanno deciso di concentrare i loro sforzi sullo sviluppo di qualcos’altro. Il quadro geografico relativo alla diffusione di tale software nocivo è molto simile a quello evidenziato da altri malware in grado di acquisire i privilegi di root, visto che il suddetto modulo può “operare” soltanto assieme a Triada e, per di più, viene scaricato attraverso quest’ultimo.

webinject_it_3

Numero di utenti sottoposti ad attacco, nei vari paesi, da Backdoor.AndroidOS.Triada.p

Desideriamo sottolineare, infine, come i cybercriminali specializzati nell’OS Android siano, in genere, piuttosto “pigri”; d’altra parte, essi hanno la possibilità di carpire agevolmente il denaro degli utenti, in maniera diretta, mediante l’utilizzo, ad esempio, di Trojan in grado di inviare messaggi SMS verso costosi numeri a pagamento, oppure in grado di sovrapporre subdolamente la propria finestra malevola alla schermata prodotta dalle app di mobile banking. Stiamo tuttavia notando, in questi ultimi tempi, come alcuni malintenzionati abbiano iniziato a studiare attivamente la struttura del sistema operativo mobile, a perfezionare gli strumenti tecnici di cui si compone il loro arsenale, e a condurre attacchi particolarmente complessi. In questo blogpost è stato da noi esaminato proprio uno di tali assalti.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *