14 giugno 2019

Gli specialisti Doctor Web hanno rilevato un trojan, Android.FakeApp.174, il quale carica in Google Chrome siti inaffidabili in cui gli utenti vengono abbonati a notifiche pubblicitarie. Le notifiche arrivano anche se il browser è chiuso e possono essere scambiati per avvisi di sistema. Non solo interferiscono con l'uso di dispositivi Android, ma possono anche portare al furto di denaro e informazioni riservate.

La tecnologia Web Push consente a siti, con il consenso dell'utente, di inviargli notifiche anche quando le pagine web corrispondenti non sono aperte nel browser. Quando si utilizzano risorse innocue, questa funzione è utile e conveniente. Ad esempio, i social network possono in questo modo informare su nuovi messaggi e le agenzie di stampa su nuove pubblicazioni. Tuttavia, i malintenzionati e gli inserzionisti privi di scrupoli approfittano di questa tecnologia per distribuire annunci e notifiche fraudolente che provengono da siti hackerati o malevoli.

Tali notifiche sono supportate nei browser sia dei PC e notebook che dei dispositivi mobili. Di solito, l'utente vittima capita su una risorsa di spam inaffidabile cliccando su un link appositamente creato o un banner pubblicitario. Android.FakeApp.174è uno dei primi trojan che "aiutano" i malintenzionati ad aumentare il numero di visitatori di tali siti e ad abbonare a tali notifiche proprio gli utenti di smartphone e tablet.

Android.FakeApp.174 viene distribuito sotto l'apparenza di programmi utili, ad esempio, software ufficiali di marchi noti. All'inizio di giugno gli analisti Doctor Web hanno trovato su Google Play due tali varianti del trojan. Dopo una segnalazione all'azienda Google, i programmi malevoli sono stati rimossi, ma prima erano stati scaricati da oltre 1100 utenti.

All'avvio il trojan carica nel browser Google Chrome un sito il cui indirizzo è indicato nelle impostazioni dell'app malevola. Da questo sito, in conformità ai suoi parametri, vengono eseguiti alternativamente diversi reindirizzamenti alle pagine web di vari partner program. Su ogni pagina web viene offerto all'utente di accettare la ricezione di notifiche. Per rendere verosimile tale richiesta, viene detto alla vittima che viene eseguito un controllo (ad esempio, per confermare che l'utente non è robot), o si suggerisce semplicemente il pulsante della finestra di dialogo da cliccare. Questo si fa per aumentare il numero di abbonamenti riusciti. Esempi di tali richieste sono mostrati nelle immagini seguenti:

Dopo l'attivazione dell'abbonamento, i siti iniziano a inviare all'utente numerose notifiche di contenuto discutibile. Arrivano anche se il browser è chiuso, e il trojan stesso è stato già rimosso, e vengono visualizzate nella barra di stato del sistema operativo. Il loro contenuto può essere qualsiasi. Ad esempio, false notifiche sulla ricezione di certi bonus o versamenti in denaro, sui nuovi messaggi nei social network, annunci di oroscopi, casinò, beni e servizi e persino varie "notizie".

Molte di esse hanno l'apparenza di vere notifiche di servizi online reali e di applicazioni che possono essere installate sul dispositivo. Ad esempio, mostrano il logo di una banca, un sito di appuntamenti, un'agenzia di stampa o un social network, oltre a un banner attraente. Ai proprietari di dispositivi Android possono arrivare decine di tali messaggi di spam al giorno.

Nonostante il fatto che in queste notifiche sia indicato anche l'indirizzo del sito da cui arrivano, un utente poco esperto potrebbe semplicemente non accorgersene o non dargli molta importanza. Esempi di notifiche fraudolente:

Cliccando su tale notifica, l'utente viene reindirizzato su un sito con contenuto inaffidabile. Può essere la pubblicità di un casinò, bookmaker e varie applicazioni su Google Play, offerte di sconti e buoni, falsi sondaggi online e lotterie fittizie, un sito di aggregatore di link partner e altre risorse online che variano a seconda del paese dell'utente. Alcuni esempi di siti sono riportati di seguito:

Molte di queste risorse sono coinvolte in noti schemi fraudolenti di furto di denaro, però i malintenzionati sono in grado di organizzare in qualsiasi momento un attacco per rubare dati riservati. Ad esempio, inviando attraverso il browser una notifica "importante" di una banca o un social network. La potenziale vittima potrebbe scambiare la falsa notifica per vera, cliccherà su di essa e passerà a un sito di phishing in cui gli verrà chiesto di indicare il nome, il login, la password, l'indirizzo email, il numero di carta di credito e altre informazioni riservate.

Gli specialisti Doctor Web ipotizzano che i malintenzionati utilizzeranno più attivamente questo metodo per promuovere servizi inaffidabili, pertanto gli utenti di dispositivi mobili dovrebbero leggere attentamente i contenuti di siti visitati e non abbonarsi alle notifiche di una risorsa che non si conosce o che sembra sospetta. Se l'abbonamento a notifiche di spam indesiderate è stato già effettuato, è necessario eseguire le seguenti operazioni:

• andare alle impostazioni di Google Chrome, selezionare l'opzione "Impostazioni sito" e quindi "Notifiche";
• nella lista comparsa di siti e notifiche trovare l'indirizzo della risorsa di interesse, cliccarci sopra e selezionare l'opzione "Cancella e resetta".

I prodotti antivirus Dr.Web per Android rilevano e rimuovono tutte le varianti conosciute di Android.FakeApp.174, per cui questo trojan non rappresenta pericolo per i nostri utenti.

Informazioni su Android.FakeApp.174

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

• Il primo antivirus russo per Android
• Oltre 140 milioni di download solo da Google Play
• Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis