23 ottobre 2018

In una notizia precedentemente pubblicata Doctor Web parlava del trojan downloader Android.DownLoader.818.origin il quale si diffondeva camuffato da un client VPN – un programma che permette di connettersi a reti virtuali private. Gli analisti di virus hanno continuato lo studio di questa applicazione malevola e hanno scoperto una sua versione nuova che è stata chiamata Android.DownLoader.819.origin. Ugualmente al trojan originale, essa si diffondeva attraverso la directory Google Play. È stata installata in totale da almeno 51.100 utenti.

Android.DownLoader.819.origin è un downloader che scarica su dispositivi Android altre applicazioni malevole e le avvia. Il trojan veniva distribuito sotto le sembianze di vari giochi a nome dello sviluppatore Quoac. Gli specialisti Doctor Web hanno rilevato 14 copie di Android.DownLoader.819.origin le quali sono state scaricate da almeno 51.100 proprietari di smartphone e tablet Android. Gli analisti di virus hanno trasmesso a Google informazioni sui programmi rilevati, e al momento della pubblicazione di questo materiale essi sono rimossi da Google Play.

Le informazioni sulle applicazioni malevole trovate sono presentate nella tabella riassuntiva di seguito:

Android.DownLoader.819.origin è una variante del trojan Android.DownLoader.818.origin e possiede le stesse funzionalità. All'avvio cerca di ottenere accesso alla lettura e scrittura di file sulla scheda SD, e inoltre, chiede un'autorizzazione per essere incluso sulla lista degli amministratori del dispositivo mobile. In caso di successo, il trojan rimuove la propria icona dal menu della schermata principale del sistema operativo e nasconde la sua presenza sul dispositivo. Dopo questo, diventa impossibile avviare il "gioco", e l'applicazione malevola stessa può essere trovata solo nella lista dei programmi installati nelle impostazioni di sistema.

Dopo aver ottenuto le autorizzazioni necessarie, il trojan si connette a un server remoto e scarica impercettibilmente un file apk, dopodiché offre al proprietario del dispositivo infetto di installarlo. Se l'utente rifiuta la richiesta, il programma malevolo cerca nuovamente di effettuare l'installazione, mostrando la stessa finestra di dialogo ogni 20 secondi – fino a quando la vittima non accetterà di installare l'applicazione scaricata. Il file che viene scaricato e installato dal trojan è un programma malevolo, Android.HiddenAds.728, il quale visualizza annunci pubblicitari quando viene acceso lo schermo dello smartphone o tablet infetto.

Tutte le versioni conosciute del trojan downloader Android.DownLoader.819.origin, nonché delle applicazioni malevole scaricate da esso vengono rilevate e rimosse in modo affidabile dai prodotti antivirus Dr.Web per Android e pertanto non rappresentano alcuna minaccia per i nostri utenti.

• Informazioni su Android.DownLoader.819.origin
• Informazioni su Android.HiddenAds.728