Doctor Web: panoramica sulle attività dei virus per dispositivi mobili a giugno 2017

3 luglio 2017

A giugno gli analisti dei virus Doctor Web hanno scoperto un trojan Android che spiava gli utenti dei dispositivi mobili iraniani ed eseguiva comandi dei malintenzionati. Inoltre, il mese scorso in Google Play sono state trovate più applicazioni malevole alla volta. Una di loro cercava di ottenere i privilegi di root, si integrava nelle librerie di sistema e poteva installare software senza che l'utente se ne accorga. Le altre inviavano SMS a tariffe elevate e abbonavano gli utenti a servizi costosi. Inoltre, in Google Play si propagavano programmi potenzialmente pericolosi, il cui utilizzo poteva portare alla perdita di informazioni confidenziali. Oltre a ciò, a giugno è stato rilevato un nuovo cryptolocker per Android.

La minaccia mobile del mese

A giugno gli analisti dei virus Doctor Web hanno rilevato un trojan Android classificato come Android.Spy.377.origin che si propagava tra gli utenti iraniani. Questo programma malevolo raccoglieva informazioni riservate e le trasmetteva ai malintenzionati. Inoltre, poteva eseguire comandi impartiti dagli autori dei virus.

Caratteristiche di Android.Spy.377.origin:

• si diffonde con il pretesto di applicazioni innocue;
• ruba sms, contatti dalla rubrica e dati circa l'account Google;
• può fare foto tramite la fotocamera frontale;
• viene gestito dai malfattori attraverso il protocollo di Telegram.

Abbiamo raccontato di questo trojan più nel dettaglio nella relativa pubblicazione.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

Trojan progettati per la visualizzazione di pubblicità invadenti. Vengono distribuiti con il pretesto di applicazioni popolari tramite altri programmi malevoli che in alcuni casi li installano di nascosto nella directory di sistema.

Android.DownLoader.337.origin

Un programma trojan progettato per il download di altre applicazioni.

Android.Triada.264.origin

Un campione dei trojan multifunzionali che eseguono una serie di azioni malevole.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Moduli software indesiderati che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiosa pubblicità sui dispositivi mobili.

Minacce su Google Play

Il mese scorso gli specialisti Doctor Web hanno scoperto in Google Play programmi potenzialmente pericolosi che permettevano di utilizzare i social network "VKontakte" e "Odnoklassniki", bloccati sul territorio di Ucraina. Queste applicazioni, aggiunte al database dei virus Dr.Web come Program.PWS.1, utilizzavano un server anonymizer per raggirare le restrizioni di accesso, però non codificavano in alcun modo le credenziali e le altre informazioni sensibili degli utenti. Per ulteriori dettagli su questo caso leggete un materiale pubblicato sul sito Doctor Web.

Inoltre, a giungo in Google Play sono stati trovati trojan appartenenti alla famiglia Android.Dvmap. Ad avvio questi programmi malevoli cercano di ottenere i privilegi di root sul dispositivo mobile, dopodiché infettano alcune librerie di sistema e installano componenti aggiuntivi. Questi trojan possono eseguire comandi impartiti dai malintenzionati e inoltre scaricare e lanciare altre applicazioni senza la partecipazione dell'utente.

Gli altri trojan Android che si diffondevano attraverso Google Play a giugno sono stati aggiunti al database dei virus Dr.Web come Android.SmsSend.1907.origin e Android.SmsSend.1908.origin. Risultavano incorporati dai malfattori in software innocui. Queste applicazioni malevole inviavano SMS su numeri a pagamento, abbonando gli utenti degli operatori mobili a servizi costosi. Fatto questo, i trojan iniziavano a rimuovere tutti i messaggi in arrivo dimodoché gli utenti non ricevano le notifiche di un abbonamento a servizi premium non richiesti.

Trojan cryptolocker

A giugno è stato rilevato un trojan ransomware, Android.Encoder.3.origin, che attaccava gli utenti cinesi di SO Android e criptava file sulla scheda SD. Gli autori di questo encoder si sono ispirati al famoso cryptolocker WannaCry che a maggio 2017 aveva colpito centinaia di migliaia di computer in tutto il mondo. Gli autori del virus hanno utilizzato uno stile analogo nell'aspetto del messaggio con la richiesta del riscatto per la decriptazione.

I malintenzionati chiedevano alle vittime un riscatto di 20 yuan, e ogni 3 giorni questo importo si raddoppiava. Se dopo una settimana dopo l'infezione del dispositivo mobile i criminali informatici non ottenevano il denaro, Android.Encoder.3.origin eliminava i file criptati.

Programmi malevoli e potenzialmente pericolosi per SO Android giungono sui dispositivi mobili con un download effettuato non soltanto da vari siti web, ma anche da Google Play. I proprietari degli smartphone e dei tablet dovrebbero trattare con cautela l'installazione di applicazioni sconosciute e inoltre loro è consigliabile utilizzare i prodotti antivirus Dr.Web per Android.