23 giugno 2016

Google Play rimane la fonte più sicura di applicazioni Android, però anche in questo negozio di contenuti digitali di volta in volta compaiono vari programmi malevoli. Doctor Web ne ha rilevato uno recentemente, denominandolo Android.Valeriy.1.origin: i malintenzionati lo usano per guadagnare su iscrizioni a pagamento e per diffondere altre applicazioni malevole.

Il trojan Android.Valeriy.1.origin è un plugin malevolo che i malintenzionati hanno incorporato in software innocui. Viene distribuito dagli sviluppatori ZvonkoMedia LLC, Danil Prokhorov, nonché horshaom in sei applicazioni disponibili su Google Play:

• Battery Booster;
• Power Booster;
• Blue Color Puzzle;
• Blue And White;
• Battery Checker;
• Hard Jump - Reborn 3D.

Sono tutte giochi e utility di manutenzione, e per il momento in totale sono state scaricate da Google Play da oltre 15.500 utenti. Allo stesso tempo, il server di gestione del trojan, cui hanno ottenuto l'accesso gli specialisti Doctor Web, contiene le informazioni su oltre 55.000 installazioni uniche. Gli analisti dei virus Doctor Web hanno informato la società Google dei programmi in cui è nascosto Android.Valeriy.1.origin, però al momento della pubblicazione di questa notizia tali applicazioni erano ancora disponibili su Google Play.

Dopo che l'utente ha avviato i giochi e le applicazioni in cui è incluso Android.Valeriy.1.origin, il plugin malevolo si connette con il server di gestione e ottiene un task che contiene un link appositamente generato. Il trojan va automaticamente sul link indicato che conduce su un sito web intermedio, il quale, a seconda di vari parametri, trasmette all'applicazione malevola l'URL finale. Nella maggior parte dei casi tale URL conduce su portali web inattendibili, il cui obiettivo principale è ricavare il numero di cellulare delle potenziali vittime e iscriverle a qualche servizio per cui verrà addebitato un canone su base giornaliera. Tra i servizi pubblicizzati dal trojan può esserci, per esempio un'offerta di visualizzazione di materiali erotici o di download di un software popolare che in realtà è gratis ed è disponibile su Google Play. Sebbene le informazioni sull'abbonamento e il relativo costo siano ritrovabili sulle pagine caricate, molti utenti potrebbero non vederle e indicare il loro numero di telefono.

Android.Valeriy.1.origin apre automaticamente nella finestra WebView uno di tali siti e lo visualizza sullo schermo come un banner pubblicitario. Ricevuto un task corrispondente, Android.Valeriy.1.origin inizia a controllare tutti gli SMS in arrivo. Una volta la vittima indica su tale sito il suo numero di telefono, sul suo cellulare arriva un codice di conferma di iscrizione a un servizio a pagamento. Android.Valeriy.1.origin però intercetta e blocca questi messaggi, non permettendo all'utente di scoprire che ha accettato le condizioni di fornitura di un costoso servizio. Come risultato, un determinato canone verrà addebitato su base giornaliera ai cellulari delle vittime della truffa, che effettivamente hanno accettato le condizioni di fornitura del servizio.

Il trojan può inoltre scaricare vari programmi, tra cui anche quelli malevoli. Per esempio, tra i programmi gli analisti dei virus Doctor Web hanno trovato il trojan-downloader Android.DownLoader.355.origin. Inoltre, in un task Android.Valeriy.1.origin può ottenere dal server di gestione diversi script JavaScript che anche esegue attraverso WebView. I malfattori possono utilizzare queste funzionalità per premere di nascosto elementi interattivi, banner pubblicitari e link su pagine web caricate. Per esempio per confermare automaticamente un numero di telefono inserito dall'utente, nonché per aumentare svariati contatori.

Per proteggersi dalle attività fraudolente dei malintenzionati, gli specialisti Doctor Web consigliano agli utenti di smartphone e tablet Android di leggere con attenzione le informazioni in finestre a comparsa e in avvisi, nonché consigliano di non immettere il proprio numero di cellulare in moduli da schermo non attendibili.

La maggior parte delle applicazioni che contengono il trojan Android.Valeriy.1.origin è protetta da un packer, il che ne complica l'analisi, però i prodotti antivirus Dr.Web per Android possono rilevare tali programmi, classificandoli come Android.Valeriy.1 o Android.Packed.1. Tutte queste applicazioni vengono rilevate e rimosse dai dispositivi mobili con successo perciò questo trojan non rappresenta alcun pericolo per i nostri utenti.