12 dicembre 2016

Gli analisti dei virus Doctor Web hanno rilevato nuovi trojan che i malintenzionati avevano incorporato nei firmware di decine di modelli di dispositivi mobili SO Android. Le applicazioni malevole rilevate sono locate in directory di sistema e si occupano di scaricare e installare altri software in un modo impercettibile per l'utente.

Uno di questi trojan, denominato Android.DownLoader.473.origin, è trovabile nei firmware di una serie di modelli di dispositivi Android popolari che funzionano sulla piattaforma hardware MTK. Per il momento della pubblicazione di questo materiale risultava presente su 26 modelli di smartphone, tra cui:

• MegaFon Login 4 LTE
• Irbis TZ85
• Irbis TX97
• Irbis TZ43
• Bravis NB85
• Bravis NB105
• SUPRA M72KG
• SUPRA M729G
• SUPRA V2N10
• Pixus Touch 7.85 3G
• Itell K3300
• General Satellite GS700
• Digma Plane 9.7 3G
• Nomi C07000
• Prestigio MultiPad Wize 3021 3G
• Prestigio MultiPad PMT5001 3G
• Optima 10.1 3G TT1040MG
• Marshal ME-711
• 7 MID
• Explay Imperium 8
• Perfeo 9032_3G
• Ritmix RMD-1121
• Oysters T72HM 3G
• Irbis tz70
• Irbis tz56
• Jeka JK103

Tuttavia, il numero di modelli di dispositivi Android infettati da questo trojan può risultare anche più grande.

Android.DownLoader.473.origin è un trojan-downloader che inizia a funzionare a ciascun'accensione del dispositivo compromesso. Il programma malevolo monitora l'attività del modulo Wi-Fi e una volta rilevata una connessione di rete, si collega con un server di gestione da cui riceve un file di configurazione con un task. In questo file sono contenute le informazioni su un'applicazione che il trojan deve scaricare. Dopo lo scaricamento del software impostato Android.DownLoader.473.origin lo installa di nascosto.

Effettivamente, il trojan è in grado, su comando dei malintenzionati, di scaricare sui dispositivi compromessi qualsiasi software. Può essere sia programmi innocui che indesiderati e persino malevoli. Per esempio Android.DownLoader.473.origin propaga attivamente l'adware H5GameCenter che il database dei virus Dr.Web conosce come Adware.AdBox.1.origin. Dopo l'installazione l'adware mostra sopra le finestre di tutti i programmi in esecuzione una piccola immagine di una scatola la quale non può essere allontanata dallo schermo. Questa immagine è una scorciatoia a clic su cui Adware.AdBox.1.origin apre una directory incorporata dei software. Inoltre, questo programma indesiderato visualizza banner pubblicitari.

Su vari forum i proprietari di dispositivi Android dicono che se viene rimossa, l'applicazione H5GameCenter viene nuovamente installata nel sistema e l'immagine della scatola di nuovo viene visualizzata sopra tutti i programmi. Questo succede perché Android.DownLoader.473.origin scarica nuovamente e reinstalla Adware.AdBox.1.origin se il programma viene rimosso dal dispositivo.

Un altro trojan rilevato nei firmware di alcuni dispositivi Android è stato chiamato Android.Sprovider.7. È stato trovato sugli smartphone Lenovo A319 e Lenovo A6000. Questo programma malevolo è incorporato nell'applicazione Rambla che fornisce l'accesso a una directory dei software per SO Android con lo stesso nome.

Le funzioni principali di Android.Sprovider.7 sono concentrate in un modulo software separato (viene rilevato da Dr.Web come Android.Sprovider.12.origin) che è memorizzato in forma cifrata nelle risorse dell'applicazione principale. Ogni volta quando l'utente riattiva il dispositivo dalla modalità di blocco dello schermo, il trojan verifica se questo componente ausiliario è in esecuzione. Se è inattivo, Android.Sprovider.7 lo estrae dalle sue risorse e lo avvia. Il modulo Android.Sprovider.12.origin possiede una vasta gamma di funzionalità. Per esempio può:

• scaricare un file apk e tentare di installarlo con il metodo standard, chiedendo il permesso all'utente;
• avviare un'applicazione installata;
• aprire nel browser un link impostato dai malfattori;
• chiamare un determinato numero tramite l'applicazione di sistema standard;
• avviare l'applicazione del telefono di sistema standard in cui è già composto un determinato numero;
• mostrare pubblicità sopra tutte le applicazioni;
• mostrare annunci nella barra delle notifiche;
• creare un collegamento sulla schermata home;
• aggiornare il modulo malevolo principale.

Come è noto, i truffatori di Internet guadagnano con l'aumento artificiale del numero di scaricamenti e della popolarità di applicazioni e inoltre con la distribuzione di software pubblicitari. Per questo è molto probabile che i programmi malevoli Android.DownLoader.473.origin e Android.Sprovider.7 siano stati incorporati nei firmware dei dispositivi mobili per colpa di subappaltatori di malafede che partecipavano alla creazione delle immagini dell'SO e volevano guadagnare a scapito degli utenti.

Doctor Web ha informato sul problema i produttori degli smartphone infetti. Ai proprietari di questi dispositivi si consiglia di contattare l'assistenza clienti dei produttori degli smartphone e dei tablet per ottenere un aggiornamento del software di sistema corretto, non appena è pronto.

I prodotti antivirus Dr.Web per Android rilevano con successo tutte le versioni conosciute dei trojan Android.DownLoader.473.origin e Android.Sprovider.7, quindi i nostri utenti possono verificare se il firmware dei loro dispositivi è infetto.

• Informazioni sul trojan Android.DownLoader.473.origin
• Informazioni sul trojan Android.Sprovider.7

Proteggi il tuo dispositivo Android tramite Dr.Web