Triada, il pericoloso trojan colpisce Android

E' molto pericoloso, prende di mira gli smartphone e, in termini di complessità, può essere paragonato a un malware basato su Windows. I dispositivi che integrano la versione Android 4.4.4. e quelle precedenti sono fortemente a rischio. Tutti i dettagli

Invisibile, modulare, persistente e scritto da cyber criminali professionisti: così gli esperti della software house socializzata in antivirus Kaspersky Lab descrivono l’ultimo trojan per dispositivi mobili scoperto.

Il suo nome è Triada e, subito dopo l’intrusione nel dispositivo, scarica e installa una backdoor che effettua il download e l’attivazione di due moduli, in grado a loro volta di scaricare, installare e lanciare applicazioni

Secondo una recente ricerca di Lab sulla Virologia dei Dispositivi Mobile, quasi metà dei 20 maggiori Trojan del 2015 sono stati programmi nocivi in grado di ottenere i diritti di accesso super-utente. I privilegi di super-utente danno ai cyber criminali i diritti per installare applicazioni sul telefono senza che l’utente ne venga a conoscenza.

Solitamente il malware si diffonde attraverso le applicazioni che gli utenti scaricano/installano ma può anche infiltrarsi durante l’aggiornamento di una app già esistente, talvolta preinstallata sul telefono.

Ci sono 11 famiglie di Trojan mobile conosciute che usano i privilegi di root e tre di esse - Ztorg, Gorpo e Leechm - operano in collaborazione tra di loro. I dispositivi infettati da questi trojan solitamente si organizzano in una rete, creando una sorta di botnet pubblicitaria che può essere sfruttata dai gruppi criminali per installare diversi tipi di adware.

I dispositivi che integrano la versione Android 4.4.4. e precedenti sono a maggior rischio.


Diffusione di Zygote nelle varie versioni Android

Una caratteristica peculiare di Triada è l’uso di Zygote, un "demone" il cui scopo è lanciare applicazioni Android. È un processo di app standard che funziona per ogni applicazione recentemente installata. Non appena il trojan entra nel sistema, diventa parte del processo di app e sarà preinstallato in ogni lancio di applicazione sul dispositivo, oltre a poter cambiare la logica delle operazioni dell’applicazione.

Triada opera silenziosamente, il che significa che tutte le attività nocive sono nascoste sia all’utente, sia alle altre applicazioni. La sua invisibilità è molto avanzata:  dopo essere entrato nel dispositivo dell’utente, viene eseguito in quasi ogni processo di lavoro e continua ad esistere solamente nel registro delle attività. In tal modo è praticamente impossibile rilevarlo ed eliminarlo usando normali soluzioni antimalware.

La complessità delle funzionalità di Triada ha convinto gli esperti che dietro al suo sviluppo ci sia una sola mano: quella di cyber criminali professionisti, con una profonda conoscenza di Android.

Ma la domanda importante è una sola: perché? Per quale motivo prendersi la briga di fare tutto questo lavoro di sviluppo informatico? Semplice, soldi!

Una delle principali funzionalità del trojan Triada è la capacità di modificare gli sms in uscita inviati da altre applicazioni. Quando un utente acquisti in-app via sms per giochi Android, i criminali possono modificare l’sms in uscita in modo che il denaro vada a loro anziché allo sviluppatore del gioco.

Visto che è quasi impossibile disinstallare questo malware da un dispositivo, gli utenti hanno due opzioni per liberarsene. La prima è ottenere l’accesso di root al telefono ed eliminare manualmente le applicazioni nocive. La seconda opzione è eseguire il jailbreak del sistema Android sul dispositivo. Entrambe le azioni sembrano però per utenti se non esperti almeno buoni conoscitori di smartphone. Dunque per molti di noi non resta che una terza via: installare un antivirus che, specificamente, sia in grado di rilevare le componenti di Triada.

(4 marzo 2026)