La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Torna alla lista delle notizie

Doctor Web: un client VPN per Android conteneva un trojan downloader

19 ottobre 2018

Trojan downloader — programmi malevoli utilizzati dai criminali informatici per diffondere altri trojan. Gli analisti di virus Doctor Web hanno rilevato uno di tali downloader nella directory Google Play. Era nascosto in un programma per la connessione a reti virtuali private (VPN).

Il trojan, denominato Android.DownLoader.818.origin, è incorporato in un programma con il nome di Turbo VPN – Unlimited Free VPN & Proxy il quale è stato scaricato da oltre 11.000 proprietari di dispositivi mobili Android. Il nome dell'applicazione malevola quasi completamente coincide con il nome di un client VPN popolare Turbo VPN — Unlimited Free VPN & Fast Security VPN dell'azienda Innovative Connecting la quale non ha nulla a che vedere con la falsificazione. Spacciando Android.DownLoader.818.origin per un software noto per la connessione a reti virtuali private, gli autori del trojan cercavano di indurre in errore le potenziali vittime e aumentare il numero di download del malware.

Android.DownLoader.818.origin #drweb

All'avvio Android.DownLoader.818.origin cercava di ottenere l'autorizzazione di lettura e scrittura di file visualizzando la richiesta corrispondente. Quindi chiedeva l'accesso ai permessi dell'amministratore del dispositivo mobile.

Android.DownLoader.818.origin #drweb Android.DownLoader.818.origin #drweb

Android.DownLoader.818.origin permette effettivamente di utilizzare reti VPN — per la sua creazione i malintenzionati hanno utilizzato il codice del progetto open source OpenVPN per Android. Tuttavia, tutti quelli che hanno installato l'applicazione non potevano utilizzarla — dopo l'ottenimento dei privilegi di sistema necessari Android.DownLoader.818.origin rimuoveva la sua icona dalla lista dei programmi sulla schermata principale del sistema operativo. Da quel momento l'utente non poteva più avviare il client VPN trojan.

Dopo che il programma malevolo diventava invisibile per l'utente, esso scaricava in modo silenzioso da un server remoto un file apk e lo salvava sulla scheda di memoria. Quindi offriva ripetutamente di installare l'applicazione scaricata fino a quando l'utente non accettava di farlo. Un esempio del messaggio con cui Android.DownLoader.818.origin costringeva l'utente ad eseguire l'installazione dell'altro programma, è mostrato di seguito:

Android.DownLoader.818.origin #drweb

Al momento dell'analisi di Android.DownLoader.818.origin il file che esso scaricava era il trojan Android.HiddenAds.710 che è studiato per visualizzare annunci pubblicitari. Tuttavia, a seconda delle impostazioni del server e degli obiettivi dei malintenzionati, Android.DownLoader.818.origin può scaricare e provare a installare qualsiasi altra applicazione malevola o indesiderata.

Gli specialisti Doctor Web hanno informato Google sul programma pericoloso trovato su Google Play, dopodiché esso è stato prontamente rimosso dal catalogo.

Tutti i trojan sopra descritti non rappresentano alcun pericolo per i nostri utenti — i prodotti antivirus Dr.Web per Android li rilevano e li rimuovono con successo dai dispositivi mobili.

#Android, #Google_Play, #software_malevolo, #trojan

Il tuo Android ha bisogno di protezione
Utilizza Dr.Web

Scarica gratis

  • Il primo antivirus russo per Android
  • Oltre 135 milioni di scaricamenti solo da Google Play
  • Gratis per gli utenti dei prodotti Dr.Web per privati.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti