13 novembre 2017

Gli analisti dei virus Doctor Web hanno trovato nella directory Google Play alcune applicazioni in cui era incorporato il trojan Android.RemoteCode.106.origin. Questo programma malevolo apre in modo impercettibile siti web, clicca su link e banner pubblicitari in essi locati, e inoltre aumenta il numero di false visite a risorse internet. Inoltre, può essere utilizzato per condurre attacchi di phishing e per rubare informazioni confidenziali.

Gli specialisti Doctor Web hanno individuato Android.RemoteCode.106.origin in 9 software in totale scaricati in un intervallo da 2.370.000 a oltre 11.700.000 utenti. Il trojan è stato individuato nelle seguenti applicazioni:

• Sweet Bakery Match 3 – Swap and Connect 3 Cakes versione 3.0;
• Bible Trivia versione 1.8;
• Bible Trivia – FREE versione 2.4;
• Fast Cleaner light versione 1.0;
• Make Money 1.9;
• Band Game: Piano, Guitar, Drum versione 1.47;
• Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017 versione 1.0.2;
• Easy Backup & Restore versione 4.9.15;
• Learn to Sing versione 1.2.

I nostri analisti hanno informato l'azienda Google della presenza di Android.RemoteCode.106.origin nelle applicazioni individuate. Al momento della pubblicazione di questo materiale una parte di esse era già aggiornata e il trojan ci era assente. Tuttavia, i programmi rimanenti contenevano ancora il componente malevolo e rappresentavano ancora un pericolo.

Prima di iniziare le attività dannose, Android.RemoteCode.106.origin esegue una serie di controlli. Se sul dispositivo mobile infetto è assente un determinato numero di foto, contatti nella rubrica e record nel registro chiamate, il trojan non si manifesta in nessun modo. Se invece le condizioni impostate sono soddisfatte, il malware invia una richiesta sul server di gestione e cerca di aprire il link ricevuto nel messaggio di risposta. Se riuscito, Android.RemoteCode.106.origin mette in azione le sue funzionalità principali.

Il trojan scarica dal server di gestione una lista dei moduli da avviare. Uno di essi è stato aggiunto al database dei virus Dr.Web come Android.Click.200.origin. Apre automaticamente nel browser un sito web di cui l'indirizzo gli viene trasmesso dal centro di comando. Questa funzionalità può essere utilizzata per aumentare il contatore di visite a risorse internet, e inoltre per condurre attacchi di phishing, se il trojan riceverà un compito di aprire una pagina web fraudolenta.

Il secondo modulo del trojan, denominato Android.Click.199.origin, assicura il funzionamento del terzo componente, inserito nel database dei virus come Android.Click.201.origin. L'obiettivo principale di Android.Click.199.origin è quello di caricare, avviare e aggiornare il modulo Android.Click.201.origin.

A sua volta, dopo l'avvio Android.Click.201.origin si connette al server di gestione da cui ottiene compiti. Questi ultimi contengono indirizzi di siti web che vengono quindi aperti dal trojan in una finestra WebView invisibile per l'utente. Dopo aver aperto uno degli indirizzi bersaglio, Android.Click.201.origin fa clic in autonomo su un banner pubblicitario indicato nel comando oppure su un elemento casuale della pagina aperta. Ripete queste azioni fino a quando non raggiungerà il numero di clic impostato.

Dunque, lo scopo principale del trojan Android.RemoteCode.106.origin è quello di caricare e avviare moduli malevoli addizionali che vengono utilizzati per aumentare il contatore di visite a siti web, e inoltre per cliccare annunci pubblicitari, per cui i malintenzionati ricevono una ricompensa. Inoltre, il malware può essere utilizzato per condurre attacchi di phishing e per rubare informazioni confidenziali.

I prodotti antivirus Dr.Web per Android rilevano con successo tutte le applicazioni che contengono il trojan Android.RemoteCode.106.origin e i suoi moduli ausiliari quindi questi programmi malevoli non rappresentano alcun pericolo per i nostri utenti. A rilevamento di un software in cui è integrato Android.RemoteCode.106.origin, ai proprietari di smartphone e tablet Android è consigliato rimuovere tale software o controllare la disponibilità delle versioni aggiornate senza le funzioni trojan.

Informazioni sul trojan