18 gennaio 2016

Tra i numerosi trojan Android si sono diffusi largamente i programmi malevoli che scaricano software in modo impercettibile sui dispositivi mobili. Utilizzando questi programmi, i malintenzionati ricevono un ricompenso per ogni download o installazione di qualche applicativo. Uno di tali trojan, scoperto dagli analisti di virus Doctor Web, si integra nel processo attivo del programma Play Market e aumenta in modo fraudolento il conteggio di installazioni in Google Play.

Android.Skyfin.1.origin presumibilmente viene scaricato sui dispositivi mobili da alcuni trojan della famiglia Android.DownLoader (per esempio Android.DownLoader.252.origin e Android.DownLoader.255.origin) i quali dopo aver infettato uno smartphone o un tablet, cercano di ottenere i permessi di root e quindi installano di nascosto programmi malevoli nella directory di sistema. Il codice di questi trojan contiene alcune stringhe caratteristiche di Android.Skyfin.1.origin per cui si può presumere con alta probabilità che proprio queste applicazioni malevole si occupino della distribuzione di Android.Skyfin.1.origin.

Ad avvio Android.Skyfin.1.origin integra nel processo del programma Play Market un modulo trojan ausiliare, denominato Android.Skyfin.2.origin. Questo modulo ruba l'identificatore unico del dispositivo mobile e dell'account del proprietario per l'utilizzo dei servizi Google, vari codici di autenticazione interni per la connessione alla directory Google Play e altri dati confidenziali. In seguito il modulo passa queste informazioni al componente principale del trojan Android.Skyfin.1.origin, che quindi le invia insieme alle informazioni tecniche relative al dispositivo su un server di gestione.

Utilizzando i dati raccolti, Android.Skyfin.1.origin si collega alla directory Google Play e simula il funzionamento dell'applicazione Play Market. Il trojan può effettuare le seguenti richieste:

• /search – la ricerca nella directory per simulare un flusso di lavoro dell'utente;
• /purchase – una richiesta per l'acquisto di software;
• /commitPurchase – la conferma dell'acquisto;
• /acceptTos – la conferma che si accettano le condizioni di un contratto di licenza;
• /delivery – una richiesta di un link per il download di un file apk dalla directory;
• /addReview /deleteReview /rateReview – l'aggiunta, l'eliminazione e la valutazione di recensioni;
• /log – la conferma del download di un software, che viene utilizzata per aumentare il conteggio delle installazioni.

Dopo aver scaricato un'applicazione prescritta dai malfattori, Android.Skyfin.1.origin non la installa, ma soltanto salva sulla scheda di memoria, pertanto l'utente non vede nuovi programmi comparsi dal nulla. Come il risultato, il trojan aumenta le possibilità di rimanere inosservato e può continuare ad aumentare il conteggio di installazioni in modo fraudolento, facendo crescere artificialmente la popolarità di alcune applicazioni su Google Play.

Gli analisti dei virus Doctor Web hanno rilevato diverse varianti di Android.Skyfin.1.origin. Una di loro può scaricare da Google Play una sola applicazione – com.op.blinkingcamera. Il trojan simula un clic sul banner Google AdMob con una pubblicità di questo programma, scarica il suo file apk e aumenta automaticamente il numero di download, confermando "l'installazione" sul server Google. Un'altra variante di Android.Skyfin.1.origin è più versatile. Può scaricare qualsiasi applicazione dalla directory – a questo scopo il trojan riceve dai malintenzionati una lista dei programmi da scaricare.

Tutte le varianti conosciute di Android.Skyfin.1.origin vengono rilevate con successo dai prodotti antivirus Dr.Web per Android, quindi i proprietari degli smartphone e dei tablet possono verificare se il trojan è presente sui loro dispositivi. Tuttavia, in quanto Android.Skyfin.1.origin viene installato nella directory di sistema, per rimuoverlo, è necessario utilizzare la soluzione completa Dr.Web Security Space per Android, la quale, se sono disponibili i permessi di root, è in grado di affrontare questo tipo di applicazioni malevole.