Google conferma: c'era una backdoor preinstallata su alcuni (rari) device Android

Google conferma: c'era una backdoor preinstallata su alcuni (rari) device Android

La storia della famiglia di adware Triada ha del soprendente, visto che gli aggressori in questo caso hanno utilizzato tecniche sofisticatissime per inoculare semplici adware sui dispositivi

di pubblicata il , alle 18:41 nel canale Telefonia
GoogleAndroid
 

Nelle scorse ore Google ha pubblicato un case study relativo ad un gruppo di hacker estremamente esperto che ha continuamente cercato di inoculare malware sugli smartphone Android nel corso degli anni. Nel posto si fa riferimento agli adware della "Famiglia Triada", progettati per inserire sul dispositivo spam e campagne pubblicitarie in maniera fraudolenta. Nel post Google ha raccontato brevemente la storia, iniziata nel 2016, descrivendo come ogni versione del malware funzionasse e ammettendo qualcosa di decisamente sorprendente.

Il team ha infatti escogitato un metodo per installare il suo malware su alcuni telefoni Android praticamente ancor prima che venissero consegnati al compratore e che quest'ultimo aprisse la scatola o installasse la sua prima applicazione. Il trucchetto, descritto nel grafico poco sopra, si affida al fatto che diversi produttori di smartphone, in mancanza di know-how e competenze specifiche sul piano del software, delegano a terze parti lo sviluppo di alcune funzionalità. Terze parti che sono diventate inconsapevolmente il vettore dell'attacco.

Quest'ultimo può sfruttare non solo funzionalità vulnerabili presenti sugli smartphone Android, ma può aggredire anche i pacchetti di aggiornamento over-the-air. Google sottolinea come si sia trovata costretta a collaborare con gli stessi produttori hardware per riuscire a eliminare Triada dai dispositivi Android. Quali sono stati i dispositivi vulnerabili a Triada? Google non li menziona, tuttavia Ars Technica fa riferimento a un articolo del 2017 in cui si leggono i nomi di alcuni (rari) smartphone cinesi: Leagoo M5 Plus, Leagoo M8, Nomu S10 e Nomu S20.

L'idea del team alla base di Triada è sicuramente fra le più intelligenti che abbiamo incontrato in questi anni sui device Android, e forse anche fra le più pericolose. Anche sul piano tecnico, e non solo su quello concettuale, si tratta di attacchi sofisticatissimi: l'app utilizza l'encoding XOR per proteggere i file con crittografia e nasconderne il contenuto, in abbinamento alla compressione ZIP. Il codice è inoltre iniettato in maniera particolarmente strategica all'interno dell'app relativa all'interfaccia utente indispensabile per il primo avvio, che consente ai banner di essere visualizzati. Attraverso la backdoor presente, inoltre, l'exploit obbligava l'installazione di app a scelta dell'aggressore attraverso lo stesso Play Store di Android.

Secondo quanto si legge sul post: "Le app venivano scaricate attraverso un server Command & Control, e la comunicazione con il server era protetta con crittografia utilizzando la stessa doppia cifratura personalizzata via XOR e file ZIP. Le app scaricate e installate usavano nomi per i pacchetti di app non popolari ma disponibili su Google Play. Ma non avevano alcuna relazione con queste ultime, ad eccezione del solo nome del pacchetto". Triada quindi non era un semplice "adware", visto che in realtà utilizzava tecniche che abbiamo già visto su attacchi molto più sofisticati e complessi, progettati per malware potenzialmente più pericolosi.

Non è facile per i produttori sviluppare una ROM custom priva di tecnologie di terze parti, soprattutto per i brand più piccoli, tuttavia Google sottolinea come sia possibile utilizzare la "Build Test Suite" per scansionare tutto il software di terze parti inserito al fine di verificare la presenza di rischi come quelli della famiglia di adware Triada. Ulteriori approfondimenti tecnici sull'argomento possono essere trovati sul blog ufficiale di Big G.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
WarSide08 Giugno 2019, 15:14 #1
comunicazione con il server era protetta con crittografia utilizzando la stessa doppia cifratura personalizzata via XOR e file ZIP


Ma con scappellamento a destra o sinistra?

Per fortuna avete linkato la fonte e si riesce a capire qualcosa di come funzionasse l'attacco.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^