La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Torna alla lista delle notizie

Oltre un milione i download: un successivo trojan Android su Google Play rilevato da Doctor Web

5 luglio 2017

Gli analisti dei virus Doctor Web hanno rilevato su Google Play un gioco con un trojan downloader incorporato. Questa applicazione malevola può scaricare, installare e lanciare altri software senza la conoscenza dell'utente. Il trojan è stato scaricato da oltre un milione di proprietari dei dispositivi mobili.

L'applicazione malevola, che è stata denominata Android.DownLoader.558.origin, risulta incorporata nel popolare gioco BlazBlue scaricato da oltre un milione di utenti. Questo trojan è parte di un software specializzato (SDK, Software Development Kit) chiamato Excelliance, studiato per automatizzare e facilitare l'aggiornamento dei programmi Android.

A differenza della procedura di aggiornamento standard, quando una versione vecchia di un'applicazione viene sostituita completamente con una nuova, l'SDK sopracitato permette di scaricare i componenti richiesti uno per uno senza reinstallare tutto il pacchetto software. Questo dà a sviluppatori la possibilità di mantenere aggiornato la versione di un loro software installato sui dispositivi mobili persino se gli utenti non seguono i rilasci delle versioni nuove. Tuttavia, la piattaforma Excelliance funziona come un trojan downloader in quanto può scaricare e avviare componenti di applicazioni non controllati. Tale modo di aggiornamento trasgredisce le regole di Google Play visto che rappresenta un pericolo.

screen Android.DownLoader #drweb

Android.DownLoader.558.origin inizia a funzionare al primo avvio di un programma o un gioco in cui è incorporato. Insieme agli altri elementi di un'applicazione il trojan viene estratto dalla directory con le sue risorse e viene decifrato. In seguito il trojan si carica in autonomo ad ogni connessione del dispositivo mobile a Internet anche se l'utente non avvia più l'app infetta.

Il modulo trojan monitora l'attività di rete e cerca di connettersi a un server di gestione. A seconda delle impostazioni del server Android.DownLoader.558.origin può ricevere come risposta un comando di download di un determinato componente software. Per esempio, nel caso del gioco BlazBlue il modulo offre di scaricare file mancanti e inoltre gli aggiornamenti, se disponibili.

screen Android.DownLoader #drweb

screen Android.DownLoader #drweb

screen Android.DownLoader #drweb

Oltre alle risorse aggiuntive di un'applicazione e ai suoi aggiornamenti Android.DownLoader.558.origin è in grado di scaricare singoli file apk-, dex- ed elf. L'avvio di tali file in alcuni casi può essere eseguito all'insaputa dell'utente. Per esempio, l'esecuzione del codice dei file dex scaricati avviene in maniera automatica e non richiede alcune azioni da parte del proprietario del dispositivo.

Allo stesso tempo durante l'installazione dei file apk scaricati l'utente vede una finestra di dialogo standard, però se sono disponibili i permessi di root nel sistema Android.DownLoader.558.origin può installarli completamente inosservati. Proprio in questo consiste il principale pericolo dell'SDK Excelliance. I suoi autori in qualsiasi momento possono impartire un comando di download di oggetti che non sono correlati con l'applicazione principale – per esempio, moduli di pubblicità, software di terze parti e persino altri trojan che possono essere scaricati bypassando Google Play e avviati senza autorizzazione.

Gli specialisti Doctor Web hanno notificato l'azienda Google del pericoloso comportamento del componente trojan nell'SDK utilizzato nel gioco BlazBlue, però al momento della pubblicazione di questo materiale la sua versione con Android.DownLoader.558.origin era ancora disponibile per il download su Google Play.

Le applicazioni in cui è incorporato questo trojan vengono rilevate come Android.RemoteCode.81.origin e vengono rimosse con successo dai prodotti antivirus Dr.Web per Android dunque non rappresentano alcun pericolo per i nostri utenti.

Informazioni sul trojan

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti