7 agosto 2018

I trojan per Microsoft Windows che sostituiscono negli appunti i numeri dei portafogli digitali durante le operazioni con denaro elettronico e criptovalute sono largamente diffusi e da tempo conosciuti sia dagli utenti dei computer che dagli specialisti di sicurezza informatica. Ad agosto 2018 gli analisti di virus Doctor Web hanno studiato diversi programmi malevoli con le simili funzionalità, creati per la piattaforma mobile Android.

I trojan che sono in grado di sostituire impercettibilmente i numeri di portafogli elettronici negli appunti in modo che denaro arrivi ai malintenzionati, anziché all'utente vengono chiamati "clipper" (dal termine clipboard, "appunti"). Fino a poco tempo fa, i simili programmi malevoli infastidivano soprattutto gli utenti di Windows. I trojan con le funzionalità analoghe progettati per Android si incontrano raramente in "natura selvatica". Ad agosto 2018 ai database dei virus Dr.Web sono stati aggiunti i record per il rilevamento di due versioni di Android.Clipper, che sono state denominate Android.Clipper.1.origin e Android.Clipper.2.origin. Questi programmi malevoli minacciano gli utenti dei dispositivi con Android

Android.Clipper è in grado di sostituire negli appunti i numeri dei portafogli elettronici dei sistemi di pagamento Qiwi, Webmoney (R e Z) e "Yandex.Money", nonché delle criptovalute Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin e Litecoin. Uno dei campioni del trojan Android.Clipper esaminato dagli analisti di virus si maschera come applicazione per la gestione dei portafogli elettronici Bitcoin:

All'avvio sul dispositivo infetto, il trojan visualizza un falso messaggio di errore e continua a funzionare in modalità nascosta. Toglie la sua icona dalla lista delle applicazioni, dopodiché il programma malevolo può essere visto solo nelle impostazioni di sistema del dispositivo mobile nella sezione di gestione dei software installati. In seguito, entrambe le versioni di Android.Clipper si avviano automaticamente ad ogni accensione dello smartphone o tablet infetto.

Dopo aver infettato un dispositivo Android, il trojan inizia a monitorare le modifiche del contenuto degli appunti. Se Android.Clipper scopre che l'utente ha copiato negli appunti un numero di un portafoglio elettronico, esso invia questo numero sul suo server di controllo. Quindi il programma malevolo invia sul server un'altra richiesta aspettando in cambio il numero di un portafoglio dei malintenzionati da incollare negli appunti invece del numero originale.

L'autore di Android.Clipper vende attivamente i trojan di questa famiglia sui forum degli hacker. I clienti dell'autore di virus possono utilizzare qualsiasi icona e nome dell'applicazione per ciascuna copia del programma acquistata. Nel prossimo futuro, ci si può aspettare la comparsa di un gran numero di versioni di questi trojan le quali i malintenzionati distribuiranno sotto l'apparenza di software innocui e utili.

Nei suoi messaggi pubblicitari l'autore di virus annuncia la possibilità di inviare report di funzionamento del programma malevolo nell'applicazione Telegram e di cambiare prontamente tramite il protocollo FTP i numeri di portafogli da inserire negli appunti. Nel trojan stesso però queste funzionalità non sono implementate. Le funzionalità sopradescritte vengono fornite ai criminali informatici dal server di controllo stesso.

I prodotti antivirus Dr.Web per Android rilevano e rimuovono tutte le versioni conosciute dei trojan della famiglia Android.Clipper per cui esse non rappresentano alcun pericolo per i nostri utenti.

Informazioni su Android.Clipper.1.origin

Informazioni su Android.Clipper.2.origin

#Android #bitcoin #criptovalute