Ricerca

Ognuno vede… non quello che vuole vedere

Verso la fine del primo trimestre dell’anno in corso, Kaspersky Lab ha scoperto il Trojan modulare Backdoor.AndroidOS.Triada, in grado di fornire ai Trojan caricati sul dispositivo-vittima (payload nocivo) i diritti di superutente e la possibilità di introdursi nei processi di sistema. Di lì a poco, il 15 marzo, abbiamo individuato uno di tali moduli, il quale consentiva, di fatto, di poter realizzare un pericoloso attacco, ovvero la sostituzione degli URL caricati nel browser.

Il modulo nocivo da noi scoperto è costituito da più parti, rilevate da Kaspersky Lab come Backdoor.AndroidOS.Triada.p/o/q. Una volta ottenuti i diritti di superutente, tramite gli strumenti standard di debugging Linux, esso inietta la propria libreria (Triada.q, che in seguito provvede a caricare Triada.o) nei processi dei seguenti browser:

  • com.android.browser (browser standard di Android)
  • com.qihoo.browser (360 Secure Browser)
  • com.ijinshan.browser_fast (Cheetah browser)
  • com.oupeng.browser (Oupeng browser)

La libreria intercetta l’URL che sta per essere aperto sul browser dell’utente, lo analizza e, se necessario, può sostituirlo con qualsiasi altro indirizzo Internet. Le “regole” da utilizzare per la sostituzione dell’URL vengono scaricate dal server C&C, mentre il modulo è in azione.

Schema dell’attacco

In un sistema non infetto, il browser, attraverso Internet, invia una richiesta con l’indirizzo URL al server web, ricevendo, in risposta, la pagina desiderata.

1_it

Dopo che il malware Triada ha infettato il dispositivo, invece, al processo del browser viene aggiunta una libreria malevola, preposta ad intercettare gli URL. In questo modo, la query relativa all’indirizzo Internet va a finire in tale libreria, dove viene modificata, per poi essere inviata verso un altro server web.

2_it

Il risultato di tutto ciò è che il browser non riceve i dati che l’utente ha effettivamente richiesto; quest’ultimo, quindi, viene diretto verso una pagina web completamente diversa.

Attualmente, questo schema maligno viene utilizzato dai virus writer sia per modificare il search engine predefinito, selezionato nel browser dell’utente, sia per sostituire la home page iniziale. Si tratta, in pratica, delle stesse azioni compiute da numerosi programmi adware destinati all’OS Windows. Ad ogni caso, in teoria, nulla potrebbe impedire ai malintenzionati di realizzare attacchi informatici analoghi, ma con fini ben diversi. I cybercriminali, in effetti, potrebbero intercettare qualsiasi URL, incluso quelli legati alla sfera bancaria, oppure potrebbero reindirizzare gli utenti-vittima verso un’insidiosa pagina di phishing, e via dicendo. Per far ciò, sarebbe sufficiente, per i malfattori, impartire il relativo comando alla propria “creatura”.

Nel periodo in cui sono state effettuate le nostre osservazioni, il modulo in questione ha attaccato 247 utenti; l’intensità degli attacchi da esso portati, peraltro, non accenna a diminuire. Il numero delle varianti di tale malware è comunque piuttosto limitato; con ogni probabilità, nonostante la tecnologia impiegata si riveli indubbiamente essere di tipo “avanzato”, gli autori della backdoor hanno deciso di concentrare i loro sforzi sullo sviluppo di qualcos’altro. Il quadro geografico relativo alla diffusione di tale software nocivo è molto simile a quello evidenziato da altri malware in grado di acquisire i privilegi di root, visto che il suddetto modulo può “operare” soltanto assieme a Triada e, per di più, viene scaricato attraverso quest’ultimo.

webinject_it_3

Numero di utenti sottoposti ad attacco, nei vari paesi, da Backdoor.AndroidOS.Triada.p

Desideriamo sottolineare, infine, come i cybercriminali specializzati nell’OS Android siano, in genere, piuttosto “pigri”; d’altra parte, essi hanno la possibilità di carpire agevolmente il denaro degli utenti, in maniera diretta, mediante l’utilizzo, ad esempio, di Trojan in grado di inviare messaggi SMS verso costosi numeri a pagamento, oppure in grado di sovrapporre subdolamente la propria finestra malevola alla schermata prodotta dalle app di mobile banking. Stiamo tuttavia notando, in questi ultimi tempi, come alcuni malintenzionati abbiano iniziato a studiare attivamente la struttura del sistema operativo mobile, a perfezionare gli strumenti tecnici di cui si compone il loro arsenale, e a condurre attacchi particolarmente complessi. In questo blogpost è stato da noi esaminato proprio uno di tali assalti.

Ognuno vede… non quello che vuole vedere

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox