Doctor Web: panoramica sull'attività di virus per dispositivi mobili a settembre 2018

28 settembre 2018

A settembre 2018 gli analisti di virus hanno rivelato un gran numero di trojan nella directory ufficiale di applicazioni Android. Inoltre, il mese passato vari banker Android minacciavano gli utenti di dispositivi mobili. Oltre a ciò, a settembre i malintenzionati distribuivano un pericoloso trojan che veniva utilizzato per lo spionaggio informatico. Sempre a settembre al database dei virus Dr.Web sono stati aggiunti record di rilevamento di nuove versioni di trojan spioni commerciali conosciuti.

La minaccia mobile del mese

A settembre gli utenti di dispositivi mobili Android venivano minacciati dal pericoloso trojan spione Android.Spy.460.origin che è conosciuto dagli analisti Doctor Web da giugno 2018. Questo programma malevolo viene distribuito tramite siti web fraudolenti da cui viene caricato con il pretesto di applicazioni di sistema, ad esempio, il software con il nome di "Google Carrier Service".

Android.Spy.460.origin tiene traccia della corrispondenza SMS, della posizione dello smartphone o tablet infetto, ascolta le chiamate telefoniche, registra l'ambiente tramite il microfono incorporato nel dispositivo mobile, ruba i dati dalla rubrica e dal calendario, nonché trasmette ai malintenzionati la cronologia delle visite dal browser e i segnalibri memorizzati.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.Backdoor.682.origin

Android.Backdoor.1572

Programmi trojan che eseguono comandi dei malintenzionati e permettono loro di controllare i dispositivi mobili infetti.

Android.HiddenAds

Trojan progettati per la visualizzazione di pubblicità invadenti. Vengono distribuiti sotto le mentite spoglie di applicazioni popolari tramite altri programmi malevoli che in alcuni casi li installano di nascosto nella directory di sistema.

Android.Mobifun.4

Un trojan che carica altre applicazioni malevole.

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Moduli software indesiderati che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiosa pubblicità sui dispositivi mobili.

Minacce su Google Play

Il mese passato nella directory Google Play è stato rilevato un gran numero di programmi malevoli. Gli specialisti Doctor Web di nuovo hanno trovato in essa trojan della famiglia Android.Click che venivano distribuiti dai criminali informatici sotto le mentite spoglie di applicazioni di bookmaker ufficiali. Oltre alle versioni già conosciute di questi trojan (segnalate dalla nostra azienda ad agosto), gli analisti di virus ne hanno registrato 17 versioni nuove. In totale, le applicazioni malevole sono state scaricate da almeno 62.000 utenti.

All'avvio questi trojan, su comando del server di gestione, caricano nella loro finestra siti web di bookmaker e li visualizzano agli utenti. Tuttavia, in qualsiasi momento il server può impartire istruzioni di apertura di un altro indirizzo internet, il che può rappresentare un serio pericolo.

Inoltre, tra i trojan clicker che si sono infiltrati a settembre nella directory di software Android ufficiale c'era Android.Click.265.origin su cui anche abbiamo informato gli utenti il mese di agosto scorso. Android.Click.265.origin carica siti con contenuti a tariffe elevate e iscrive gli utenti a servizi costosi. Per fare ciò, esso fa automaticamente clic su un pulsante situato sulle pagine web aperte per confermare l'accesso a un servizio a pagamento. A settembre i malintenzionati distribuivano questo programma malevolo sotto le sembianze di applicazioni ufficiali di aziende note, ad esempio Citilink, MODIS e O'STIN.

Un altro trojan con le funzionalità simili a quelle di Android.Click.265.origin è stato denominato Android.Click.223.origin. Gli autori di virus distribuivano anch'esso con il pretesto di programmi innocui, finte applicazioni di Gloria Jeans e TVOE.

A settembre nella directory Google Play di nuovo sono stati trovati trojan banker. Tra di essi, Android.Banker.2855 e Android.Banker.2856 che si diffondevano camuffati da utility di servizio e programmi oroscopo. Questi programmi malevoli estraggono e lanciano un banker nascosto al loro interno il quale ruba login e password di accesso agli account di clienti di istituzioni creditizie.

Un altro banker per Android che si è intrufolato in Google Play a settembre ha il nome di Android.Banker.283.origin. Gli autori di virus lo spacciavano per l'applicazione ufficiale di una delle istituzioni creditizie turche.

Programmi spioni

A settembre sono state individuate nuove versioni di programmi spyware commerciali, in particolare Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin и Program.Spymaster.2.origin. Essi sono studiati per spiare impercettibilmente i proprietari di dispositivi mobili Android. Per esempio, queste applicazioni consentono ai malfattori di intercettare la corrispondenza SMS, monitorare le chiamate telefoniche e la posizione degli smartphone e tablet, ottenere accesso alla cronologia delle visite del browser e ai segnalibri memorizzati, copiare contatti dalla rubrica telefonica, nonché rubare altre informazioni riservate.

I criminali informatici creano costantemente nuovi trojan e programmi potenzialmente pericolosi e con il loro aiuto cercano di infettare gli smartphone e i tablet Android degli utenti. Molte di tali applicazioni continuano ad apparire su Google Play. Per proteggere i loro dispositivi mobili, si consiglia ai proprietari di installare i prodotti antivirus Dr.Web per Android.