19 ottobre 2018

Trojan downloader — programmi malevoli utilizzati dai criminali informatici per diffondere altri trojan. Gli analisti di virus Doctor Web hanno rilevato uno di tali downloader nella directory Google Play. Era nascosto in un programma per la connessione a reti virtuali private (VPN).

Il trojan, denominato Android.DownLoader.818.origin, è incorporato in un programma con il nome di Turbo VPN – Unlimited Free VPN & Proxy il quale è stato scaricato da oltre 11.000 proprietari di dispositivi mobili Android. Il nome dell'applicazione malevola quasi completamente coincide con il nome di un client VPN popolare Turbo VPN — Unlimited Free VPN & Fast Security VPN dell'azienda Innovative Connecting la quale non ha nulla a che vedere con la falsificazione. Spacciando Android.DownLoader.818.origin per un software noto per la connessione a reti virtuali private, gli autori del trojan cercavano di indurre in errore le potenziali vittime e aumentare il numero di download del malware.

All'avvio Android.DownLoader.818.origin cercava di ottenere l'autorizzazione di lettura e scrittura di file visualizzando la richiesta corrispondente. Quindi chiedeva l'accesso ai permessi dell'amministratore del dispositivo mobile.

Android.DownLoader.818.origin permette effettivamente di utilizzare reti VPN — per la sua creazione i malintenzionati hanno utilizzato il codice del progetto open source OpenVPN per Android. Tuttavia, tutti quelli che hanno installato l'applicazione non potevano utilizzarla — dopo l'ottenimento dei privilegi di sistema necessari Android.DownLoader.818.origin rimuoveva la sua icona dalla lista dei programmi sulla schermata principale del sistema operativo. Da quel momento l'utente non poteva più avviare il client VPN trojan.

Dopo che il programma malevolo diventava invisibile per l'utente, esso scaricava in modo silenzioso da un server remoto un file apk e lo salvava sulla scheda di memoria. Quindi offriva ripetutamente di installare l'applicazione scaricata fino a quando l'utente non accettava di farlo. Un esempio del messaggio con cui Android.DownLoader.818.origin costringeva l'utente ad eseguire l'installazione dell'altro programma, è mostrato di seguito:

Al momento dell'analisi di Android.DownLoader.818.origin il file che esso scaricava era il trojan Android.HiddenAds.710 che è studiato per visualizzare annunci pubblicitari. Tuttavia, a seconda delle impostazioni del server e degli obiettivi dei malintenzionati, Android.DownLoader.818.origin può scaricare e provare a installare qualsiasi altra applicazione malevola o indesiderata.

Gli specialisti Doctor Web hanno informato Google sul programma pericoloso trovato su Google Play, dopodiché esso è stato prontamente rimosso dal catalogo.

Tutti i trojan sopra descritti non rappresentano alcun pericolo per i nostri utenti — i prodotti antivirus Dr.Web per Android li rilevano e li rimuovono con successo dai dispositivi mobili.

• Informazioni su Android.DownLoader.818.origin
• Informazioni su Android.HiddenAds.710

#Android, #Google_Play, #software_malevolo, #trojan