16 aprile 2018

Gli analisti dei virus Doctor Web hanno rilevato su Google Play un trojan, Android.Click.245.origin, che, su comando dei malintenzionati, carica siti in cui gli utenti vengono abbonati con inganno a servizi di contenuti a pagamento. In alcuni casi l'abbonamento viene creato in automatico dopo che l'utente ha fatto clic su un pulsante ingannevole di "download" di programmi.

I malintenzionati distribuivano Android.Click.245.origin a nome dello sviluppatore Roman Zencov e mascheravano il trojan da applicazioni note. Tra di esse – il gioco Miraculous Ladybug & Cat Noir, non ancora rilasciato sulla piattaforma Android, il programma per chiamate e gestione della rubrica GetContact, che è stato clamoroso all'inizio della primavera, e inoltre l'assistente vocale Alisa, che è integrato nelle applicazioni dell'azienda "Yandex" e non è ancora disponibile come software separato. Uno di questi programmi malevoli rientrava tra le trenta nuove app più popolari su Google Play.

Gli specialisti Doctor Web hanno informato l'azienda Google su Android.Click.245.origin, dopodiché il trojan è stato rimosso dallo store. In totale, le false applicazioni sono state installate da oltre 20000 utenti. Tutti questi programmi non hanno alcune funzioni utili. Hanno l'obiettivo principale di caricare pagine web su comando dei malintenzionati.

Dopo l'avvio Android.Click.245.origin si connette al server di gestione e attende task. A seconda dell'indirizzo IP del dispositivo infetto connesso alla rete, il trojan riceve il link di un sito da caricare. Il programma malevolo va al link ricevuto e visualizza tramite WebView la pagina richiesta dai criminali informatici. Se il dispositivo mobile è connesso a Internet via Wi-Fi, all'utente viene offerto di installare l'applicazione di interesse cliccando sul pulsante corrispondente. Per esempio, se l'utente vittima voleva avviare il falso programma assistente vocale Alisa, per il "download" può essere preparato un file con il nome «Alice Yandex.apk».

Quando il proprietario del dispositivo mobile tenta di scaricare tale file, gli viene chiesto un numero di cellulare per qualche specie di autenticazione o conferma di download. Dopo l'immissione del numero all'utente viene inviato un codice di verifica da indicare sul sito per completare il "download". L'utente vittima però non riceve alcun programma – invece viene iscritto a un servizio a pagamento.

Se il dispositivo infetto è connesso a Internet attraverso una connessione mobile, il sito caricato dal trojan esegue diversi reindirizzamenti, dopodiché Android.Click.245.origin apre l'indirizzo finale nel browser Google Chrome. Sulla pagina caricata per il download di un file all'utente viene offerto di cliccare sul pulsante "Continua", dopodiché lui viene reindirizzato su un altro sito da cui sarebbe eseguito il download. Dopo il clic sul pulsante "Inizia download", l'utente vittima viene iscritto automaticamente attraverso la tecnologia Wap-Click a un servizio a costo elevato, per l'uso di cui ogni giorno gli verrà addebitato un canone. L'accesso a tali servizi viene fornito senza che l'utente abbia prima immesso un numero di cellulare o codici di conferma da SMS.

Se il trojan non ha ricevuto nessun task, visualizza sullo schermo alcune immagini che vengono scaricate da Internet.

Abbonare utenti a servizi di contenuti non richiesti è uno dei metodi più diffusi e conosciuti da molto tempo per i guadagni illegali dei malintenzionati. La sottoscrizione ad abbonamenti premium attraverso il servizio Wap-Click però rappresenta un particolare pericolo visto che in effetti essa viene effettuata senza alcuna informazione esplicita dei clienti e spesso viene utilizzata da fornitori di contenuti senza scrupoli.

Per evitare la perdita di denaro, i proprietari di smartphone e tablet dovrebbero essere attenti visitando tutti i siti web e guardarsi dal cliccare su link e pulsanti sospetti in essi collocati. Oltre a ciò, è necessario installare solo i programmi di sviluppatori conosciuti e affidabili e utilizzare un antivirus.

Per affrontare sottoscrizioni fraudolenti, agli abbonati russi di reti cellulari è consigliato attivare l'Account di contenuto. Questo servizio viene fornito gratis dopo che l'abbonato si rivolge all'assistenza clienti o a un ufficio di servizio degli operatori di telefonia mobile. Secondo gli emendamenti alla legge federale N 126-FZ «Sulla comunicazione», l'account di contenuto è un account cliente separato progettato specificamente per la gestione di servizi premium. Dopo che viene attivato, tutti gli addebiti per il pagamento di abbonamenti a costi elevati di fornitori terzi vengono effettuati solo su questo account.

I prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo tutte le versioni conosciute di Android.Click.245.origin, pertanto questo trojan non è pericoloso per i nostri utenti.

Informazioni sul trojan