Un lettore anonimo cita un rapporto di SecurityWeek: Sono stati decine di migliaia di dispositivi Android spedito agli utenti finali con firmware backdoorsecondo un avvertimento del fornitore di sicurezza informatica Human Security. Come parte dell’operazione criminale informatica globale chiamata BadBox (PDF), Human Security ha scoperto che un autore di minacce ha fatto affidamento sulla compromissione della catena di fornitura per infettare il firmware di oltre 70.000 smartphone Android, box CTV e dispositivi tablet con il malware Triada. I dispositivi infetti provengono da almeno un produttore cinese ma, prima di essere consegnati a rivenditori, negozi fisici e magazzini di e-commerce, è stata inserita una backdoor nel loro firmware. “Prodotti noti per contenere la backdoor sono stati trovati nelle reti delle scuole pubbliche di tutti gli Stati Uniti”, afferma Human.
Scoperto nel 2016, Triada è un trojan modulare che risiede nella RAM di un dispositivo, che si affida al processo Zygote per agganciare tutte le applicazioni su Android, utilizzando attivamente i privilegi di root per sostituire i file di sistema. Nel corso del tempo il malware ha attraversato diverse iterazioni e in almeno due occasioni è stato trovato preinstallato su dispositivi Android economici. Nell’ambito dell’operazione BadBox scoperta da Human Security, i dispositivi Android a basso costo infetti consentono agli autori delle minacce di attuare vari schemi di frode pubblicitaria, tra cui uno denominato PeachPit, che al suo apice si basava su 121.000 dispositivi Android e 159.000 iOS infettati da malware e su 39 app incentrate su Android, iOS e CTV progettate per connettersi a una falsa piattaforma lato offerta (SSP).
Uno dei moduli consegnati ai dispositivi infetti dal server di comando e controllo (C&C) consente la creazione di WebView completamente nascoste all’utente, ma che “vengono utilizzate per richiedere, visualizzare e fare clic su annunci pubblicitari, falsificando il le richieste di annunci sembrano provenire da determinate app, indirizzate da determinati siti Web e visualizzate” su dispositivi specifici. BadBox, nota Human Security, include anche un modulo proxy residenziale che consente agli autori delle minacce di vendere l’accesso alla rete della vittima. Inoltre, possono creare account di messaggistica WhatsApp e account Gmail da utilizzare per altre attività dannose. “Infine, a causa della connessione della backdoor ai server C2 su smartphone, tablet e box CTV infetti da BadBox, nuove app o codici possono essere installati in remoto dagli autori delle minacce senza il permesso del proprietario del dispositivo. Gli autori delle minacce dietro BadBox potrebbero sviluppare soluzioni completamente nuove schemi e distribuirli su dispositivi infetti da BadBox senza alcuna interazione da parte dei proprietari dei dispositivi,” osserva Human.