Il team di rierca mobile di Check Point ha recentemente scoperto una versione modificata della popolare applicazione per Android Telegram Messenger che incorpora codice dannoso collegato al Trojan Triada.
Le versioni modificate delle app in genere offrono funzionalità e personalizzazioni extra e si trovano tramite app store e siti non ufficiali. Il rischio in questi casi risiede nel fatto che non si può sapere con certezza quale sia realmente la natura del codice aggiunto.
Le funzionalità tipiche del trojan Triada
Check Point rammenta che le funzionalità del malware includono la registrazione dell’utente per vari abbonamenti a pagamento, l’esecuzione di acquisti in-app utilizzando l’SMS e il numero di telefono dell’utente, la visualizzazione di annunci pubblicitari e il furto di credenziali di accesso.
L’app Telegram esca
Il campione malware scoperto si maschererebbe da Telegram Messenger versione 9.2 e avrebbe lo stesso nome del pacchetto “org.telegram.messenger” e icona dell’applicazione Telegram originale.
Il flusso di installazione sembrerebbe l’effettivo processo di autenticazione dell’applicazione originale di Telegram Messenger richiedendo all’utente di inserire il numero di telefono del dispositivo e di concedere le autorizzazioni necessarie per il funzionamento dell’app.
In realtà all’avvio dell’applicazione, il codice malware verrebbe eseguito in background, camuffato da servizio di aggiornamento interno dell’applicazione.
“Il malware raccoglie informazioni sul dispositivo, imposta un canale di comunicazione, scarica un file di configurazione e attende di ricevere il payload dal server remoto. Una volta che il payload è stato decrittografato e avviato, Triada ottiene i privilegi di sistema, che gli consentono di inserirsi in altri processi ed eseguire molte azioni dannose.”, commentano gli esperti Michal Ziv, Or Mizrahi, e Danil Golubenko.
Protezione dei dispositivi
Come sempre si consiglia di scaricare le app da fonti attendibili, quali siti Web, app store e repository ufficiali, di verificare autore e creatore delle app prima del loro download e di fare attenzione all’effettiva necessità di concedere le autorizzazioni richieste per il corretto funzionamento dall’app da installare.
