Doctor Web: panoramica sull'attività di virus per dispositivi mobili a gennaio 2019

1 febbraio 2019

Il mese che sta per finire i proprietari di dispositivi Android venivano minacciati da un gran numero di programmi malevoli. All'inizio di gennaio gli analisti di virus Doctor Web hanno esaminato il trojan Android.Spy.525.origin progettato per lo spionaggio informatico. Qualche tempo dopo sono stati rilevati ulteriori trojan di pubblicità che sono stati chiamati Android.HiddenAds.361.origin ed Android.HiddenAds.356.origin. Durante il mese i nostri specialisti hanno rilevato alcuni nuovi clicker della famiglia Android.Click che i malfattori spacciavano per applicazioni ufficiali di bookmaker. Inoltre, i criminali informatici distribuivano i trojan downloader della famiglia Android.DownLoader che scaricano Android banker sugli smartphone e tablet.

La minaccia mobile del mese

All'inizio di gennaio al database dei virus Dr.Web è stato aggiunto un record per il rilevamento del trojan Android.Spy.525.origin. Si diffondeva attraverso la directory Google Play con il pretesto di applicazioni utili, e inoltre attraverso un sito appartenente ai malfattori, visitando il quale, le potenziali vittime venivano reindirizzate sulla popolare risorsa di condivisione file MediaFire su cui era memorizzata una copia del trojan.

Al comando del server di gestione Android.Spy.525.origin poteva tracciare la posizione dello smartphone o tablet infetto, rubare la corrispondenza SMS, informazioni su chiamate telefoniche, dati dalla rubrica, file memorizzati sul dispositivo e anche mostrare finestre di phishing.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.Backdoor.682.origin

Un programma trojan che esegue comandi dei malintenzionati e permette loro di controllare i dispositivi mobili infetti.

Android.RemoteCode.197.origin

Software malevolo progettato per il download e l'esecuzione di codice arbitrario.

Android.HiddenAds.261.origin

Android.HiddenAds.659

Trojan progettati per la visualizzazione di pubblicità invadenti. Vengono distribuiti sotto le mentite spoglie di applicazioni popolari tramite altri programmi malevoli che in alcuni casi li installano di nascosto nella directory di sistema.

Android.Mobifun.4

Un trojan che scarica varie applicazioni.

Adware.Zeus.1

Adware.AdPush.29.origin

Adware.Patacore.1.origin

Adware.Patacore.168

Adware.Jiubang.2

Moduli software indesiderati che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiosa pubblicità sui dispositivi mobili.

Minacce su Google Play

Oltre ad Android.Spy.525.origin, a gennaio sono state rilevate anche altre minacce su Google Play. All'inizio del mese il database dei virus Dr.Web è stato integrato con i record per il rilevamento dei trojan Android.HiddenAds.361.origin ed Android.HiddenAds.356.origin. Questi programmi malevoli sono versioni di Android.HiddenAds.343.origin, di cui la nostra azienda ha parlato nella panoramica di dicembre 2018. Android.HiddenAds.361.origin e Android.HiddenAds.356.origin si diffondevano con il pretesto di applicazioni utili. Dopo l'avvio nascondevano le loro icone e cominciavano a visualizzare annunci pubblicitari.

Inoltre, gli analisti di virus hanno esaminato un gran numero di downloader. I criminali informatici li spacciavano per programmi utili, per esempio convertitori di valuta, applicazioni bancarie ufficiali e altri software. Questi trojan hanno ricevuto i nomi Android.DownLoader.4063, Android.DownLoader.855.origin, Android.DownLoader.857.origin, Android.DownLoader.4102 ed Android.DownLoader.4107. Scaricavano e cercavano di installare sui dispositivi mobili i banker Android progettati per furti di informazioni riservate e denaro dai conti di clienti di istituzioni creditizie.

Uno dei trojan banker più scaricati era Android.BankBot.509.origin, versione di Android.BankBot.495.origin. Ne abbiamo parlato a dicembre anno scorso. Questo banker utilizzava le funzioni accessibilità (Accessibility Service) attraverso cui controllava in autonomo le applicazioni installate premendo sui pulsanti ed elementi di menu. Un altro trojan, denominato Android.BankBot.508.origin, visualizzava finestre di phishing e cercava di rubare login, password ed altre informazioni personali. Inoltre, intercettava messaggi SMS con i codici di conferma di operazioni finanziarie.

Alla fine di gennaio gli specialisti Doctor Web hanno scoperto nuovi trojan clicker della famiglia Android.Click. Tra cui — Android.Click.651, Android.Click.664, Android.Click.665 ed Android.Click.670. I malfattori li distribuivano con il pretesto di software ufficiali di bookmaker. Queste applicazioni malevole, al comando del server di gestione, potevano caricare qualsiasi sito web, il che rappresenta un serio pericolo.

Gli specialisti Doctor Web continuano a monitorare la situazione con i virus "mobile" e ad aggiungere prontamente al database dei virus Dr.Web i record per il rilevamento e la rimozione di programmi malevoli e indesiderati. Grazie a questo, gli smartphone e tablet con i prodotti Dr.Web per Android installati sono sotto protezione affidabile.