10 novembre 2016

Gli analisti dei virus Doctor Web hanno rilevato un nuovo trojan su Google Play. Questo programma malevolo, aggiunto al database dei virus come Android.MulDrop.924, scarica applicazioni all'insaputa degli utenti e suggerisce di installarle. Inoltre, può mostrare pubblicità invadenti.

Android.MulDrop.924 si diffonde attraverso Google Play nella forma dell'applicazione "Multiple Accounts: 2 Accounts" la quale è già stata scaricata da oltre 1.000.000 di proprietari di smartphone e tablet Android. Il programma consente di utilizzare contemporaneamente più account nei giochi e in altri software installati sul dispositivo mobile. Questa applicazione apparentemente innocua e persino utile nasconde però le funzionalità trojan, di cui lo sviluppatore si è dimenticato di informare le potenziali vittime. Doctor Web ha trasmesso le informazioni sul trojan a Google, però al momento della pubblicazione della presente notizia Android.MulDrop.924 era ancora disponibile per il download.

Questo programma trojan ha un'architettura modulare insolita. Una parte delle sue funzionalità è locata in due moduli software di supporto che sono cifrati e nascosti all'interno di un'immagine PNG nella directory delle risorse di Android.MulDrop.924. Ad avvio il trojan estrae e copia questi moduli nella sua directory locale nella sezione /data, dopodiché li carica in memoria.

Uno di questi componenti, oltre alle funzioni innocue, contiene anche diversi plugin pubblicitari, utilizzati dagli autori di Android.MulDrop.924 per guadagnare. Tra i plugin c'è il modulo trojan Android.DownLoader.451.origin che scarica giochi e programmi senza la conoscenza dell'utente e suggerisce di installarli. Inoltre, mostra annunci invadenti nella barra delle notifiche del dispositivo mobile.

Oltre allo store Google Play, il trojan Android.MulDrop.924 si diffonde attraverso siti-raccolte di software. Una variante del trojan è incorporata in una versione precedente dell'applicazione Multiple Accounts: 2 Accounts. È firmata da un certificato di terzi e oltre al modulo malevolo Android.DownLoader.451.origin contiene un plugin trojan aggiuntivo Android.Triada.99, il quale scarica exploit per ottenere i permessi di root sul dispositivo infetto ed è inoltre capace di scaricare e installare programmi in modo impercettibile. Il fatto che viene utilizzato un certificato di terzi può indicare che la versione sopracitata di Android.MulDrop.924 è stata modificata e propagata da un altro gruppo di malfattori che non è connesso con i creatori dell'applicazione originale.

Tutte le versioni conosciute del trojan Android.MulDrop.924 e dei suoi componenti malevoli vengono rilevate con successo dai prodotti antivirus Dr.Web per Android, quindi non rappresentano alcun rischio per i nostri utenti.