26 aprile 2018

Gli specialisti Doctor Web hanno trovato in Google Play applicazioni, scaricate in totale più di 6.500.000 volte, in cui era integrato il trojan Android.RemoteCode.152.origin. Questo programma malevolo scarica e lancia impercettibilmente ulteriori moduli tra cui ci sono plugin di pubblicità. Attraverso questi adware il trojan carica annunci invisibili e fa clic su di essi, per cui i malfattori ricevono una ricompensa.

Android.RemoteCode.152.origin è una nuova versione del trojan Android.RemoteCode.106.origin, conosciuto dal 2017, di cui Doctor Web scriveva a novembre scorso. Questo programma malevolo era un modulo software che gli sviluppatori di software incorporavano nelle loro applicazioni e le distribuivano in Google Play. La funzione principale di Android.RemoteCode.106.origin era quella di scaricare e lanciare impercettibilmente plugin ausiliari studiati per caricare pagine web con annunci e per cliccare sui banner pubblicati. La nuova versione del trojan svolge le azioni analoghe.

Dopo il primo avvio dell'applicazione che ospita il trojan Android.RemoteCode.152.origin il programma malevolo inizia automaticamente ad operare tra determinati intervalli di tempo e si avvia in autonomo dopo ogni riavvio del dispositivo. Dunque, per il suo funzionamento non occorre che il proprietario del dispositivo mobile utilizzi costantemente l'applicazione ospite.

All'avvio il programma malevolo scarica dal server di gestione ed esegue un modulo trojan, aggiunto al database dei virus Dr.Web come Android.Click.249.origin. A sua volta, questo componente scarica e lancia un altro modulo basato sulla piattaforma di pubblicità MobFox SDK. È progettata per la monetizzazione di applicazioni. Utilizzandola, il trojan crea in modo invisibile vari annunci e banner pubblicitari, dopodiché fa clic su di essi in autonomo, guadagnando denaro per i criminali informatici. Inoltre, Android.RemoteCode.152.origin supporta l'uso della rete pubblicitaria mobile AppLovin attraverso cui anche carica annunci per ottenere guadagni aggiuntivi.

Gli analisti dei virus Doctor Web hanno trovato in Google Play più applicazioni in cui era integrato questo trojan. Tutte sono vari giochi, di cui il numero di download totale ha superato 6.500.000. Gli specialisti Doctor Web hanno trasmesso a Google informazioni sui programmi trovati, e al momento di questa pubblicazione una parte di essi è stata rimossa con successo dallo store. Alcune applicazioni hanno ottenuto aggiornamenti in cui il modulo malevolo è già assente.

Android.RemoteCode.152.origin è stato trovato nei seguenti programmi:

• Beauty Salon - Dress Up Game, versione 5.0.8;
• Fashion Story - Dress Up Game, versione 5.0.0;
• Princess Salon - Dress Up Sophie, versione 5.0.1;
• Horror game - Scary movie quest, versione 1.9;
• Escape from the terrible dead, versione 1.9.15;
• Home Rat simulator, versione 2.0.5;
• Street Fashion Girls - Dress Up Game, versione 6.07;
• Unicorn Coloring Book, versione 134.

Inoltre, durante un'ulteriore analisi gli specialisti Doctor Web hanno rilevato il trojan in alcune altre applicazioni già rimosse dallo store in precedenza:

• Subwater Subnautica, versione 1.7;
• Quiet, Death!, versione 1.1;
• Simulator Survival, versione 0.7;
• Five Nigts Survive at Freddy Pizzeria Simulator, versione 12;
• Hello Evil Neighbor 3D, versione 2.24;
• The Spire for Slay, versione 1.0;
• Jumping Beasts of Gang, versione 1.9;
• Deep Survival, versione 1.12;
• Lost in the Forest, versione 1.7;
• Happy Neighbor Wheels, versione 1.41;
• Subwater Survival Simulator, versione 1.15;
• Animal Beasts, versione 1.20.

Esempi di software con il trojan Android.RemoteCode.152.origin integrato sono mostrati nelle seguenti immagini:

Per ridurre la probabilità di infezione dei dispositivi mobili da programmi malevoli e indesiderati, gli specialisti Doctor Web consigliano di installare applicazioni solo da sviluppatori noti e affidabili. I prodotti antivirus Dr.Web per Android rilevano ed eliminano con successo tutte le versioni conosciute dei trojan descritti in questo materiale, che pertanto non rappresentano alcun pericolo per i nostri utenti.

Informazioni su Android.RemoteCode.152.origin

#Android, #Google_Play, #adware, #trojan