Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web: trojan Android da Google Play abbona utenti a servizi mobile a pagamento

16 aprile 2018

Gli analisti dei virus Doctor Web hanno rilevato su Google Play un trojan, Android.Click.245.origin, che, su comando dei malintenzionati, carica siti in cui gli utenti vengono abbonati con inganno a servizi di contenuti a pagamento. In alcuni casi l'abbonamento viene creato in automatico dopo che l'utente ha fatto clic su un pulsante ingannevole di "download" di programmi.

I malintenzionati distribuivano Android.Click.245.origin a nome dello sviluppatore Roman Zencov e mascheravano il trojan da applicazioni note. Tra di esse – il gioco Miraculous Ladybug & Cat Noir, non ancora rilasciato sulla piattaforma Android, il programma per chiamate e gestione della rubrica GetContact, che è stato clamoroso all'inizio della primavera, e inoltre l'assistente vocale Alisa, che è integrato nelle applicazioni dell'azienda "Yandex" e non è ancora disponibile come software separato. Uno di questi programmi malevoli rientrava tra le trenta nuove app più popolari su Google Play.

Gli specialisti Doctor Web hanno informato l'azienda Google su Android.Click.245.origin, dopodiché il trojan è stato rimosso dallo store. In totale, le false applicazioni sono state installate da oltre 20000 utenti. Tutti questi programmi non hanno alcune funzioni utili. Hanno l'obiettivo principale di caricare pagine web su comando dei malintenzionati.

Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb

Dopo l'avvio Android.Click.245.origin si connette al server di gestione e attende task. A seconda dell'indirizzo IP del dispositivo infetto connesso alla rete, il trojan riceve il link di un sito da caricare. Il programma malevolo va al link ricevuto e visualizza tramite WebView la pagina richiesta dai criminali informatici. Se il dispositivo mobile è connesso a Internet via Wi-Fi, all'utente viene offerto di installare l'applicazione di interesse cliccando sul pulsante corrispondente. Per esempio, se l'utente vittima voleva avviare il falso programma assistente vocale Alisa, per il "download" può essere preparato un file con il nome «Alice Yandex.apk».

Android.Click.245.origin screen #drweb

Quando il proprietario del dispositivo mobile tenta di scaricare tale file, gli viene chiesto un numero di cellulare per qualche specie di autenticazione o conferma di download. Dopo l'immissione del numero all'utente viene inviato un codice di verifica da indicare sul sito per completare il "download". L'utente vittima però non riceve alcun programma – invece viene iscritto a un servizio a pagamento.

Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb

Se il dispositivo infetto è connesso a Internet attraverso una connessione mobile, il sito caricato dal trojan esegue diversi reindirizzamenti, dopodiché Android.Click.245.origin apre l'indirizzo finale nel browser Google Chrome. Sulla pagina caricata per il download di un file all'utente viene offerto di cliccare sul pulsante "Continua", dopodiché lui viene reindirizzato su un altro sito da cui sarebbe eseguito il download. Dopo il clic sul pulsante "Inizia download", l'utente vittima viene iscritto automaticamente attraverso la tecnologia Wap-Click a un servizio a costo elevato, per l'uso di cui ogni giorno gli verrà addebitato un canone. L'accesso a tali servizi viene fornito senza che l'utente abbia prima immesso un numero di cellulare o codici di conferma da SMS.

Android.Click.245.origin screen #drweb Android.Click.245.origin screen #drweb

Se il trojan non ha ricevuto nessun task, visualizza sullo schermo alcune immagini che vengono scaricate da Internet.

Abbonare utenti a servizi di contenuti non richiesti è uno dei metodi più diffusi e conosciuti da molto tempo per i guadagni illegali dei malintenzionati. La sottoscrizione ad abbonamenti premium attraverso il servizio Wap-Click però rappresenta un particolare pericolo visto che in effetti essa viene effettuata senza alcuna informazione esplicita dei clienti e spesso viene utilizzata da fornitori di contenuti senza scrupoli.

Per evitare la perdita di denaro, i proprietari di smartphone e tablet dovrebbero essere attenti visitando tutti i siti web e guardarsi dal cliccare su link e pulsanti sospetti in essi collocati. Oltre a ciò, è necessario installare solo i programmi di sviluppatori conosciuti e affidabili e utilizzare un antivirus.

Per affrontare sottoscrizioni fraudolenti, agli abbonati russi di reti cellulari è consigliato attivare l'Account di contenuto. Questo servizio viene fornito gratis dopo che l'abbonato si rivolge all'assistenza clienti o a un ufficio di servizio degli operatori di telefonia mobile. Secondo gli emendamenti alla legge federale N 126-FZ «Sulla comunicazione», l'account di contenuto è un account cliente separato progettato specificamente per la gestione di servizi premium. Dopo che viene attivato, tutti gli addebiti per il pagamento di abbonamenti a costi elevati di fornitori terzi vengono effettuati solo su questo account.

I prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo tutte le versioni conosciute di Android.Click.245.origin, pertanto questo trojan non è pericoloso per i nostri utenti.

Informazioni sul trojan

#Android, #Google_Play, #mobile, #sottoscrizione_a_pagamento, #frode

Il tuo Android ha bisogno di protezione
Utilizza Dr.Web

Scarica gratis

  • Il primo antivirus russo per Android
  • Oltre 135 milioni di scaricamenti solo da Google Play
  • Gratis per gli utenti dei prodotti Dr.Web per privati.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A