Doctor Web: panoramica sull'attività di virus per dispositivi mobili a luglio 2019

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "In primo piano" }, { box => "La minaccia del mese" }, { box => "Statistiche" }, { box => "Minacce su Google Play" }, { box => "Spionaggio informatico" } ] #FILE_REVIEW = 'https://st.drweb.com/static/new-www/news/2019/' %] [% BLOCK global.tpl_blueprint.content %]

5 agosto 2019

Il mese scorso l'azienda Doctor Web ha informato su un pericoloso trojan, Android.Backdoor.736.origin, che eseguiva comandi dei malintenzionati, rubava dati confidenziali e poteva visualizzare finestre e messaggi di phishing. Durante luglio gli analisti hanno rilevato un grande numero di nuovi trojan adware Android.HiddenAds che venivano distribuiti attraverso Google Play. Inoltre, al database dei virus Dr.Web sono stati aggiunti i record per il rilevamento di un modulo adware indesiderato, Adware.HiddenAds.9.origin, nonché di trojan spyware: Android.Spy.567.origin e Android.Spy.568.origin.

La minaccia mobile del mese

A metà luglio gli analisti Doctor Web hanno esaminato il trojan Android.Backdoor.736.origin che veniva distribuito con il pretesto del software OpenGL Plugin. Sarebbe un programma studiato per controllare la versione dell'interfaccia grafica OpenGL ES e caricarne gli aggiornamenti.

In realtà, questo backdoor spiava gli utenti inviando ai malintenzionati informazioni sui contatti, le chiamate e la posizione degli smartphone o tablet. Oltre a ciò, era in grado di caricare sul server remoto file dal dispositivo e scaricare e installare programmi. Caratteristiche di Android.Backdoor.736.origin:

• il principale componente malevolo del trojan era nascosto in un modulo ausiliario che si conservava in forma cifrata nella directory delle risorse dell'applicazione;
• se sul dispositivo erano disponibili i permessi di root, era in grado di installare programmi in automatico;
• è capace di eseguire comandi shell arrivati dal server di gestione.

Maggiori informazioni su Android.Backdoor.736.origin sono ritrovabili nella relativa pubblicazione sul nostro sito.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.Backdoor.682.origin

Trojan che esegue comandi dei malintenzionati e permette loro di controllare i dispositivi mobili infetti.

Android.HiddenAds.1424

Un trojan progettato per la visualizzazione di pubblicità invadenti. Si diffonde con il pretesto di applicazioni popolari.

Android.RemoteCode.197.origin

Android.RemoteCode.5564

Android.RemoteCode.216.origin

Applicazioni malevole progettate per il download e l'esecuzione di codice arbitrario.

Moduli software che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiose pubblicità su dispositivi mobili:

Adware.Zeus.1

Adware.Gexin.3.origin

Adware.Patacore.253

Adware.Altamob.1.origin

Piattaforma software potenzialmente pericolosa che permette alle applicazioni di eseguire i file apk senza installarli:

Tool.VirtualApk.1.origin

Minacce su Google Play

Dall'inizio di luglio gli analisti Doctor Web hanno rilevato su Google Play un grande numero di nuovi trojan adware della famiglia Android.HiddenAds installati da oltre 8.200.000 utenti. Questi programmi malevoli venivano distribuiti con il pretesto di giochi innocui e applicazioni utili: filtri per fotocamera, utility di sistema, sveglie ecc. Dopo l'avvio i trojan nascondevano la propria icona dalla lista dei software sulla schermata principale e cominciavano a visualizzare banner che interferivano con l'utilizzo dei dispositivi.

Inoltre, è stato rilevato un nuovo modulo adware indesiderato, Adware.HiddenAds.9.origin, incorporato in un programma bussola e in una raccolta di sfondi per il desktop. Visualizzava pubblicità anche quando queste applicazioni erano chiuse.

Spionaggio informatico

Oltre a ciò, il mese passato al database dei virus Dr.Web sono stati aggiunti i record per il rilevamento dei trojan spyware Android.Spy.567.origin e Android.Spy.568.origin. Il primo trasferiva sul server remoto messaggi SMS, informazioni sulle chiamate, voci del calendario e della rubrica, nonché informazioni sui file memorizzati sul dispositivo.

Il secondo visualizzava un messaggio fraudolento in cui la potenziale vittima veniva informata sulla necessità di installare l'aggiornamento di uno dei componenti Google Play. Se l'utente acconsentiva, il trojan visualizzava una finestra di phishing che imitava la pagina di accesso all'account Google.

Gli autori di virus hanno fatto un errore grammaticale nella frase "Sign in", il che poteva indicare che era una falsificazione. Se però la vittima non se ne accorgeva e inseriva le credenziali del suo account, Android.Spy.568.origin rubava i dati della sessione corrente, e i malintenzionati ottenevano l'accesso alle informazioni confidenziali: voci del calendario, codici di verifica, telefoni e indirizzi email per il ripristino dell'accesso all'account.

Per proteggere i dispositivi Android da programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

[% END %]