L’azienda di sicurezza Human Security ha scoperto una campagna chiamata Badbox meditante la quale un malware chiamato Triada viene installato nel firmware di oltre 200 modelli tra smartphone, tablet e tv box fabbricati in Cina per un totale superiore ai 74mila dispositivi Android infetti destinati ai mercati internazionali e quindi anche a quello europeo.
Dispositivi low-cost che, pur permettendo di risparmiare denaro, espongono gli utenti a rischi per la privacy e li fanno diventare complici involontari di attività criminali.
I prodotti compromessi sono stati venduti a grossisti, negozi fisici e merchant online.
Non è la prima volta che il malware Triada è stato intercettato in modelli di smartphone a basso costo con a bordo Android e le considerazioni che si possono fare vanno al di là del malware in sé, come spiega l’ingegner Giorgio Sbaraglia, information & cyber security advisor.
Analisi del malware: metodologie e strumenti per capire gli attacchi informatici
Indice degli argomenti
La rete Badbox e il malware Triada
Triada è stato individuato per la prima volta nel 2016 e, grazie alla sua modularità, può implementare il proprio codice in qualsiasi software installato sul dispositivo il quale, non appena acceso, stabilisce una connessione con i server degli aggressori. È un trojan concepito per favorire le frodi finanziare, installare in remoto codice non autorizzato, creare gateway oltre ad account WhatsApp e Gmail fasulli. Tutto ciò senza che l’utente dello smartphone si renda conto di nulla.
A cavallo tra il 2017 e il 2018, Triada è stato individuato a bordo di smartphone dal brand poco blasonato quali Advan, Cherry Mobile, Doogee e Leagoo.
Va specificato che non sono per forza di cosa i produttori a installare i malware, i responsabili vanno individuati lungo tutta la filiera e non escludono neppure i grossisti per i quali non è proibitivo accedere fisicamente ai dispositivi.
Come difendersi e a cosa fare attenzione
L’unico modo certo è fare ricorso a dispositivi – anche a basso costo – di produttori noti. Anche la reinstallazione ex novo di Android può non dare i frutti sperati perché potrebbe non essere sufficiente a rimuovere i malware installati e, a prescindere, non è un’operazione che sanno fare tutti gli utenti.
L’intervento di Giorgio Sbaraglia spiega perché la reinstallazione del sistema operativo può non essere risolutiva: “Se si tratta di una backdoor del firmware, basata sul malware Triada, la reinstallazione del sistema operativo Android (ripristinando, cioè, alle condizioni ‘di fabbrica’) potrebbe non eliminare il malware. Infatti, il malware Triada modifica un processo fondamentale del sistema operativo Android. In questo modo, Triada si installa in ogni app del dispositivo, comprese alcune funzionalità di sistema, come la messaggistica. Quindi non usa la tecnica – la più diffusa – di installarsi successivamente attraverso un’applicazione malevole che l’utente scarica. Per questo motivo, nella mia attività di consulenza e formazione, sconsiglio sempre la pratica del sideloading, ossia installare app da fonti diverse dagli app store autorizzati (Play Store ed Apple Store). Secondo uno studio di PurpleSec: ‘2021 Cyber Security Statistics: The Ultimate List Of Stats, Data & Trends’ nel 2021 il 98% degli attacchi nel mondo mobile hanno colpito dispositivi Android e, in quasi tutti i casi, si è trattato di attacchi legati ad applicazioni che sono state installate al di fuori del Play Store”.
Un modo certo per evitare problemi, dicevamo, è quello di non cedere al richiamo di brand poco noti, benché il prezzo dei dispositivi possa essere allettante: “Non è il primo caso di smartphone prodotti da aziende cinesi minori che uscivano dalla fabbrica con lo spyware già installato. Esistono sui mercati orientali smartphone venduti a poche decine di dollari, facendo sospettare di essere venduti sotto prezzo. Per questo è legittimo pensare che la finalità di questi prodotti possa essere un’altra. In realtà tali brand cinesi minori non vengono venduti in Italia ed in Europa, per cui il rischio di acquistarli per noi italiani è molto basso, a meno di non utilizzare determinate piattaforme di ecommerce cinesi. Per quanto spiegato, è assolutamente consigliabile acquistare smartphone solo di brand noti ed affidabili, evitando quelli di piccole aziende cinesi di dubbia reputazione. Peraltro – anche nell’ambiente Android – esistono ottimi smartphone, quali i Samsung ed i Google Pixel”, spiega Sbaraglia.
Infine, capire in quale comparto della filiera di produzione vengono inoculati i malware è compito complesso: “Non è facile capirlo, anche se il punto più sospettabile (ed anche più facile) della filiera dovrebbe essere la fase della produzione. In realtà, il rapporto afferma che ‘ad un certo punto tra la produzione di questi prodotti e la loro consegna ai rivenditori, ai negozi al dettaglio fisici e ai magazzini di ecommerce, viene installata una backdoor del firmware, le scatole dei prodotti vengono sigillate nella plastica, predisponendo questi dispositivi alla frode all’arrivo a destinazione’. Quindi potrebbe avvenire anche nella fase di distribuzione da parte di grossisti o piattaforme di ecommerce, ma lo ritengo meno probabile”, conclude Sbaraglia.
