28 luglio 2016

Gli specialisti Doctor Web hanno trovato un nuovo trojan su Google Play, che visualizza pubblicità invasive e inoltre ruba diverse informazioni confidenziali. Questo programma malevolo risulta incorporato in oltre 150 applicazioni che in totale sono state scaricate da almeno 2.800.000 utenti.

Questo trojan, denominato Android.Spy.305.origin, è una successiva piattaforma pubblicitaria (SDK) che alcuni sviluppatori di software utilizzano per la monetizzazione delle loro applicazioni. Gli specialisti Doctor Web hanno rilevato almeno sette sviluppatori che avendo incorporato Android.Spy.305.origin nei loro programmi, li distribuiscono attraverso Google Play. In particolare questi sono gli sviluppatori MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps e Mothrr Mobile Apps.

Le applicazioni in cui è incorporato il trojan appartengono alle categorie sfondi animati, raccolte di immagini, utility, software per il processamento di fotografie, per l'ascolto di radio in rete ecc. Al momento gli analisti dei virus Doctor Web hanno scoperto 155 tali programmi di cui il numero complessivo di download ha superato 2.800.000. La società Google è stata informata di queste applicazioni, di cui parecchie però restano ancora disponibili per il download.

Ad avvio dei programmi in cui si trova il trojan Android.Spy.305.origin quest'ultimo si connette con il server di gestione da cui ottiene un comando di download di un modulo ausiliario, rilevato come Android.Spy.306.origin. Questo componente contiene le principali funzioni dannose che Android.Spy.305.origin utilizza mediante la classe DexClassLoader.

Quindi il trojan trasmette sul server i seguenti dati:

• indirizzo email associato all'account utente di Google;
• lista delle applicazioni installate;
• lingua attuale del sistema operativo;
• nome del produttore del dispositivo mobile;
• nome del modello del dispositivo mobile;
• identificatore IMEI;
• versione del sistema operativo;
• risoluzione dello schermo;
• nome dell'operatore mobile;
• nome dell'applicazione in cui è contenuto il trojan;
• identificatore dello sviluppatore dell'applicazione;
• versione dell'SDK pubblicitario malevolo.

In seguito Android.Spy.305.origin inizia ad eseguire le funzioni principali, cioè a visualizzare pubblicità invasive. Il trojan può visualizzare sopra l'interfaccia delle applicazioni in esecuzione e del sistema operativo diversi banner pubblicitari, inclusi quelli con video. Inoltre, può mettere avvisi nella barra delle notifiche, per esempio, quelli che offrono di scaricare un software o spaventano l'utente con false informazioni su programmi malevoli rilevati.

Di seguito è riportato l'elenco dei software in cui è stato rilevato Android.Spy.305.origin:

• com.greenapp.slowmotion
• com.maxmitek.livewallpapernight
• com.asem.contactfilter
• com.allinOne.openquickly
• com.dorilradio.pe
• com.fusianart.takescreenshots
• com.maxmitek.livewallpapergod
• com.gigmobile.booster
• com.mobilescreen.recorder
• com.mobilescreen.capture
• com.fattys.automaticcallrecording
• com.maxmitek.livewallpaperbutterfly
• com.lollicontact.caller
• com.fusianart.doubletapscreen
• com.maxmitek.livewallpaperrain
• com.dorilradio.ru
• com.appworks.browser
• com.maxmitek.livewallpaperwinter
• com.sgfatty.videoplayerpro
• com.trueapppower.battery
• com.fattystudiocontacts.bassbooster
• com.mobiletool.rootchecker
• com.magicapp.reversevideo
• com.maxmitek.livewallpaperchristmas
• com.live3d.wallpaperlite
• com.maxmitek.flowerwallpaper
• com.maxmitek.livewallpaperaquariumfishfish
• com.maxmitek.nightwallpapers
• com.vmh.crackyourscreen
• com.nicewallpaper.s6wallpaper
• com.maxmitek.sunsetwallpaper
• com.nicewallpaper.supercar
• com.maxmitek.lovewallpaper
• com.maxmitek.livewallpaperdolphins
• com.nicewallpaper.beautigirl
• com.maxmitek.beachwallpaper
• com.maxmitek.livewallpapernewyear
• com.maxmitek.livewallpapergalaxy
• com.maxmitek.livewallpaper3d
• com.maxmitek.livewallpaperwaterfall
• com.maxmitek.wallpaperhalloween
• com.maxmitek.catwallpaper
• com.fattysgui.beautyfont
• com.fattystudioringtone.mp3cutter
• com.fattystudio.convertertomp3
• com.fattystudio.pictureeditor
• com.gig.wifidoctor
• com.minibackup.contacttranfer
• com.greenapp.voicerecorder
• com.glade.batterysaver
• com.beatstudio.awcapture
• com.mothrrmobile.volume
• com.trueapplab.fastlauncher
• net.camspecial.clonecamera
• com.sunny.text2photo
• com.converttool.videomp3
• com.foto.proeditor
• com.appworks.djmixonline
• com.appworksui.myfonts
• com.appworks.crackyourscreen
• com.appworkscontact.instadownloader
• com.rartool.superextract
• com.easytool.screenoff
• net.electronic.alarmclock
• com.finchpeach.heartrate
• com.finchpeach.weatherpro
• net.dotcom.cpuinfo
• com.finchpeach.wifihotspotfree
• net.brscreen.filter
• com.evin.translator
• com.dorilradio.ua
• com.dorilradio.ir
• com.dorilradio.pk
• com.dorilradio.sm
• com.dorilradio.me
• com.dorilradio.sv
• com.dorilradio.sr
• com.dorilradio.sk
• com.dorilradio.sl
• com.dorilradio.sg
• com.dorilradio.py
• com.dorilradio.pr
• com.dorilradio.pa
• com.dorilradio.mc
• com.dorilradio.lu
• com.dorilradio.lt
• com.dorilradio.lv
• com.dorilradio.li
• com.dorilradio.de
• com.dorilradio.kr
• com.dorilradio.is
• com.dorilradio.il
• com.dorilradio.hn
• com.dorilradio.ht
• com.dorilradio.gh
• com.dorilradio.hn
• com.dorilradio.ht
• com.dorilradio.gh
• com.dorilradio.ec
• com.dorilradio.fi
• com.dorilradio.doo
• com.dorilradio.cz
• com.dorilradio.cy
• com.dorilradio.cr
• com.dorilradio.bo
• com.dorilradio.th
• com.dorilradio.br
• com.dorilradio.gr
• com.dorilradio.es
• com.dorilradio.nl
• com.dorilradio.be
• com.dorilradio.id
• com.dorilradio.pl
• com.dorilradio.tr
• com.dorilradio.mx
• com.dorilradio.gt
• com.dorilradio.hu
• com.dorilradio.nz
• com.dorilradio.pt
• com.dorilradio.ch
• com.dorilradio.ro
• com.dorilradio.rs
• com.dorilradio.eg
• com.dorilradio.lk
• com.dorilradio.my
• com.dorilradio.tn
• com.dorilradio.tw
• com.dorilradio.no
• com.dorilradio.za
• com.dorilradio.ba
• com.dorilradio.bg
• com.dorilradio.hr
• com.dorilradio.dk
• com.dorilradio.in
• com.dorilradio.ie
• com.dorilradio.ph
• com.dorilradio.ar
• com.dorilradio.cl
• com.dorilradio.co
• com.dorilradio.ve
• com.dorilradio.sn
• com.dorilradio.uy
• com.dorilradio.ma
• com.dorilradio.se
• com.dorilradio.ng
• com.dorilradio.dz
• com.dorilradio.ke
• com.dorilradio.it
• com.dorilradio.cn
• com.dorilradio.ca
• com.dorilradio.jp
• com.dorilradio.fr
• com.dorilradio.au
• com.dorilradio.uk
• com.dorilradio.us

Sebbene Google Play sia la fonte più sicura delle applicazioni per smartphone e tablet Android, ci possono infiltrarsi vari software dannosi e indesiderati. A questo riguardo, gli specialisti Doctor Web consigliano ai proprietari di dispositivi mobili di prestare attenzione ai commenti degli altri utenti che potrebbero indicare che è meglio evitare l'installazione di qualche software, e inoltre di scaricare i software soltanto dei noti sviluppatori. Android.Spy.305.origin viene rilevato e rimosso con successo tramite i prodotti antivirus Dr.Web per Android, dunque il trojan non è pericoloso per i nostri utenti.