15 giugno 2016

Gli specialisti Doctor Web hanno trovato un nuovo trojan nella directory Google Play. Questo programma malevolo, denominato Android.PWS.Vk.3, ruba agli utenti i login e le password degli account di "VKontakte" (un social network russo a cui si connettono oltre 60 milioni di utenti al giorno).

Il trojan Android.PWS.Vk.3 si nasconde nell'applicazione "Musyka iz VK" che i malintenzionati distribuiscono su Google Play a nome dello sviluppatore MixHard. Gli analisti dei virus Doctor Web hanno informato la società Google di questo programma malevolo, tuttavia al momento della pubblicazione di questo materiale Android.PWS.Vk.3 era ancora disponibile per il download.

Il trojan è un solito lettore multimediale che consente di ascoltare brani musicali pubblicati nel social network "VKontakte". Per utilizzare le funzioni dichiarate, gli utenti devono accedere ai loro account, inserendo i login e la password. Qui però una spiacevole sorpresa aspetta i proprietari dei dispositivi mobili: l'app malevola invia di nascosto le credenziali su un server di controllo e di conseguenza i malintenzionati ottengono la possibilità di accedere agli account delle vittime e possono disporne a propria discrezione.

Gli specialisti Doctor Web sono venuti a sapere che gli autori di Android.PWS.Vk.3 avevano già provato a vendere gli account violati su vari forum degli hacker. Inoltre, i criminali informatici possono utilizzare gli account rubati anche, per esempio per aumentare in modo fraudolento la popolarità di vari gruppi e comunità in "VKontakte".

In precedenza gli autori del virus distribuivano già questo trojan su Google Play, in particolare, con i nomi "Music for VK" e "Music VK" (sviluppatore Dobrandrav), adesso queste versioni sono rimosse dalla directory. Android.PWS.Vk.3 risulta scaricato in totale da almeno 12.000 utenti.

I creatori del trojan, presumibilmente, hanno un proprio gruppo in "VKontakte", che conta oltre 44.600 iscritti, in cui, tra le altre cose, a tutti i partecipanti viene offerto di installare Android.PWS.Vk.3 dispositivi mobili.

Inoltre, gli autori di Android.PWS.Vk.3 hanno pubblicato nella directory Google Play un'altra applicazione lettore multimediale che attualmente non contiene esplicite funzioni malevole. Questo software si chiama "Musyka i video dlja VK" e viene distribuito dai malintenzionati a nome dello sviluppatore Gomunkul.

Sebbene adesso questo lettore multimediale non esegua azioni malevole, può diventare un trojan a pieno titolo non appena gli autori ne modificheranno soltanto un parametro e rilasceranno l'aggiornamento corrispondente. Come risultato, l'applicazione inizierà a suggerire fortemente agli utenti di installare un plugin, necessario per il suo funzionamento, e va notato che il plugin ha lo stesso certificato di sicurezza del trojan Android.PWS.Vk.3. Attualmente questo modulo software non porta in sé alcuni funzioni, però i malintenzionati possono con facilità aggiornarlo e aggiungerci qualsiasi funzione, anche una malevola.

Per il momento il lettore multimediale sopracitato risulta installato da oltre 1.000.000 di utenti e ciascuno di loro rischia di rimanere vittima degli hacker. Siccome questo programma rappresenta un potenziale pericolo alla sicurezza dei proprietari di smartphone e tablet Android, lo abbiamo inserito nel database dei virus sotto il nome di Android.Click.123.

L'azienda Doctor Web consiglia di utilizzare per la comunicazione con i social network soltanto le applicazioni Android ufficiali e inoltre di installare un antivirus per prevenire un'infezione dei dispositivi mobili. Il trojan Android.PWS.Vk.3 il programma potenzialmente pericoloso Android.Click.123 vengono rilevati e rimossi con successo dai prodotti antivirus Dr.Web per Android, quindi non rappresentano alcun rischio per i nostri utenti.