13 marzo 2018

Gli analisti Doctor Web hanno rilevato nella directory Google Play trojan Android che si diffondono sotto falsa apparenza di note applicazioni. Queste imitazioni sono in grado di caricare e visualizzare qualsiasi pagina web su comando dei malfattori i quali possono utilizzare questa possibilità per effettuare attacchi di phishing.

I programmi rilevati hanno nomi di note applicazioni, nonché icone simili a quelle originali. Gli esperti Doctor Web hanno rilevato le imitazioni dei software Portafoglio Qiwi, Sberbank online, Odnoklassniki, VKontakte ed NTV. Di seguito viene illustrato come i truffatori internet ingannano le potenziali vittime. Nella figura a sinistra è mostrata la pagina del falso programma facilmente trovabile nella directory Google Play. A destra si trova la pagina del software originale.

Ad ogni avvio queste app imitazioni si connettono a un server di controllo il quale invia loro in cambio il parametro "none" o un link impostato dai malfattori. Quando ricevono il primo parametro, i programmi estraggono dalle loro risorse alcune immagini e le mostrano agli utenti. E queste sono tutte le loro funzionalità "utili". Se invece viene inviato un link a una pagina web, i programmi la caricano e visualizzano. L'apertura della pagina viene effettuata tramite WebView direttamente nelle applicazioni in cui il link all'indirizzo internet di destinazione non è visibile. Il contenuto delle pagine visualizzate può essere assolutamente qualsiasi. In particolare, questi possono essere falsi moduli di accesso a un account di online-banking o dei social network. Come il risultato, i proprietari di smartphone e tablet Android sono a rischio di rimanere vittime di attacchi di phishing. In quanto tali funzioni rappresentano un serio pericolo, il software sopracitato è stato aggiunto al database dei virus Dr.Web come malevolo e viene rilevato come Android.Click.415.

Oltre ai trojan già descritti, gli analisti dei virus Doctor Web hanno rilevato più di 70 programmi analoghi che in totale sono stati scaricati da oltre 270.000 utenti. Tra queste applicazioni ci sono falsi giochi, raccolte di ricette e manuali di lavoro a maglia, alcune di loro possiedono veramente le funzioni dichiarate. Tuttavia, come anche il trojan Android.Click.415, loro possono ricevere da un server di controllo un link a qualsiasi pagina web da caricare e visualizzare agli utenti. Questi programmi anche sono stati aggiunti al database dei virus Dr.Web e vengono rilevati sotto i nomi di Android.Click.416 e Android.Click.417. Inoltre, durante il funzionamento diverse varianti delle applicazioni malevole mostrano pubblicità, costantemente visualizzando annunci sullo schermo del dispositivo mobile.

I trojan venivano distribuiti da almeno 4 sviluppatori: Tezov apps, Aydarapps, Chmstudio e SVNGames. Gli specialisti Doctor Web hanno informato la società Google di tutte le applicazioni malevole trovate, però al momento della pubblicazione di questa notizia loro erano ancora disponibili per il download.

La società Doctor Web vi ricorda che installando software persino dalle fonti attendibili, come Google Play, è necessario prestare attenzione al nome dello sviluppatore. I malfattori possono copiare l'aspetto esteriore di applicazioni, e inoltre utilizzare nomi simili per portare con inganno le potenziali vittime a installare le imitazioni che sono facilmente trovabili quando si fa una ricerca nelle directory dei software. I prodotti antivirus Dr.Web per Android rilevano e rimuovono tutte le varianti conosciute dei trojan Android.Click.415, Android.Click.416 e Android.Click.417, perciò loro non rappresentano alcun pericolo per i nostri utenti.

• Informazioni sul trojan Android.Click.415
• Informazioni sul trojan Android.Click.416
• Informazioni sul trojan Android.Click.417