Torna alla lista delle notizie
Doctor Web: quasi 102.000.000 di utenti Android hanno installato un trojan clicker da Google Play
8 agosto 2019
Il trojan è un modulo malevolo, è stato denominato Android.Click.312.origin secondo la classificazione Dr.Web. È integrato in applicazioni usuali: dizionari, mappe online, lettori audio, scanner di codici a barre e altri software. Tutti questi programmi sono operativi e sembrano innocui ai proprietari di dispositivi Android. Oltre a ciò, quando i programmi vengono avviati, Android.Click.312.origin inizia l'attività malevola dopo 8 ore per non destare sospetti.
Dopo aver iniziato a funzionare, il trojan trasmette sul server di gestione le seguenti informazioni sul dispositivo infetto:
- produttore e modello;
- versione del SO;
- paese di residenza dell'utente e lingua predefinita del sistema;
- identificatore User-Agent;
- nome dell'operatore mobile;
- tipo di connessione internet;
- parametri dello schermo;
- fuso orario;
- informazioni sull'applicazione in cui è incorporato il trojan.
In risposta il server gli invia le impostazioni necessarie. Alcune funzioni dell'applicazione malevola sono implementate tramite la riflessione, e in queste impostazioni sono contenuti i nomi dei metodi e delle classi insieme ai parametri per essi. Questi parametri vengono utilizzati, ad esempio, per un ricevitore di messaggi broadcast e un osservatore di contenuti attraverso cui Android.Click.312.origin monitora l'installazione e l'aggiornamento dei programmi.
Quando viene installata una nuova applicazione o viene scaricato un file apk dal client Play Store, il trojan trasmette sul server di gestione informazioni su questo programma insieme ad alcuni dati tecnici sul dispositivo. In risposta Android.Click.312.origin riceve indirizzi di siti che quindi apre in WebView invisibili, e inoltre, link che carica nel browser o in Google Play.
Pertanto, a seconda delle impostazioni del server di gestione e delle istruzioni ricevute, il trojan non solo può pubblicizzare applicazioni su Google Play, ma anche caricare impercettibilmente qualsiasi sito, inclusi quelli con la pubblicità (incluso il video) o altri contenuti discutibili. Ad esempio, dopo aver installato le applicazioni in cui era incorporato questo trojan, gli utenti si lamentavano di abbonamenti automatici a costosi servizi di provider di contenuti.
Fig. 1. Commento del primo utente: Dopo l'installazione attiva abbonamenti a pagamento! Attenti, non installate mai questa app.
Risposta dello sviluppatore: Abbonamenti a che cosa? Lei sbaglia.
Commento del secondo utente: Dopo l'installazione sono stati attivati 5 abbonamenti e i soldi sul telefono sono esauriti.
Fig. 2. Commento dell'utente: Questo è uno scherzo? Abbonamenti a pagamento da Beeline (operatore mobile russo). Non ho a che vedere con Beeline.
Fig. 3. Commento dell'utente: Una volta si accede, subito addebita 50 rubli non so perché. Spiegate per favore questa cosa.
Fig. 4. Commento dell'utente: Dopo che ho utilizzato il programma, mi abbonano a degli abbonamenti dubbi.
Gli specialisti Doctor Web non hanno potuto ricostruire le condizioni per il caricamento di tali siti dal trojan, però la potenziale implementazione di questo schema fraudolento nel caso di Android.Click.312.origin è abbastanza semplice. Il trojan segnala al server di gestione il tipo di connessione internet corrente, e se c'è una connessione attraverso la rete di un operatore mobile, il server può trasmettere un comando di apertura del sito web di uno dei servizi partner che supportano la tecnologia WAP-Сlick. Questa tecnologia semplifica l'iscrizione a vari servizi premium, però viene spesso utilizzata per abbonare illegalmente gli utenti a servizi a pagamento. La nostra azienda ha informato sul problema indicato nel 2017 e 2018. In alcuni casi non serve nemmeno la conferma dell'utente per effettuare l'abbonamento a un servizio non richiesto — se ne prende cura uno script situato sulla stessa pagina o il trojan stesso. È lui che "farà clic" sul pulsante di conferma. In quanto Android.Click.312.origin aprirà la pagina di tale sito in una WebView invisibile, l'intera procedura si svolgerà senza la conoscenza e la partecipazione della vittima.
Gli analisti Doctor Web hanno individuato 34 applicazioni in cui era incorporato Android.Click.312.origin. Sono state installate da oltre 51.700.000 utenti. Inoltre, una variante del trojan, denominata Android.Click.313.origin, è stata scaricata da almeno 50.000.000 di utenti. Così, il numero totale di proprietari di dispositivi mobili minacciati da questo trojan ha superato 101.700.000. Di seguito è presentata la lista dei programmi in cui è stato trovato questo clicker:
| GPS Fix |
| QR Code Reader |
| ai.type Free Emoji Keyboard |
| Cricket Mazza Live Line |
| English Urdu Dictionary Offline - Learn English |
| EMI Calculator - Loan & Finance Planner |
| Pedometer Step Counter - Fitness Tracker |
| Route Finder |
| PDF Viewer - EBook Reader |
| GPS Speedometer |
| GPS Speedometer PRO |
| Notepad - Text Editor |
| Notepad - Text Editor PRO |
| Who unfriended me? |
| Who deleted me? |
| GPS Route Finder & Transit: Maps Navigation Live |
| Muslim Prayer Times & Qibla Compass |
| Qibla Compass - Prayer Times, Quran, Kalma, Azan |
| Full Quran MP3 - 50+ Audio Translation & Languages |
| Al Quran Mp3 - 50 Reciters & Translation Audio |
| Prayer Times: Azan, Quran, Qibla Compass |
| Ramadan Times: Muslim Prayers, Duas, Azan & Qibla |
| OK Google Voice Commands (Guide) |
| Sikh World - Nitnem & Live Gurbani Radio |
| 1300 Math Formulas Mega Pack |
| Obshchestvoznanije - shkolnyj kurs. EGE e OGE. (in russo, Scienze sociali - corso di studio per la scuola. Esame di stato unificato ed Esame di stato di base.) |
| Bombuj - Filmy a seriály zadarmo |
| Video to MP3 Converter, RINGTONE Maker, MP3 Cutter |
| Power VPN Free VPN |
| Earth Live Cam - Public Webcams Online |
| QR & Barcode Scanner |
| Remove Object from Photo - Unwanted Object Remover |
| Cover art IRCTC Train PNR Status, NTES Rail Running Status |
L'azienda Doctor Web ha trasmesso informazioni su questo trojan a Google, dopo di che alcuni dei programmi trovati sono stati rapidamente rimossi da Google Play. Inoltre, per alcune applicazioni sono stati rilasciati aggiornamenti da cui il componente trojan è già assente. Ciononostante, al momento della pubblicazione di questa notizia, la maggior parte delle applicazioni conteneva ancora il modulo malevolo e rimaneva disponibile per il download.
Gli analisti di virus consigliano agli sviluppatori di scegliere responsabilmente i moduli per la monetizzazione delle applicazioni e non integrare SDK inaffidabili nei propri software. I prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo i programmi in cui sono incorporate le varianti conosciute del trojan Android.Click.312.origin, perciò esso non rappresenta alcun pericolo per i nostri utenti.
Informazioni su Android.Click.312.origin
Il tuo Android ha bisogno di protezione.
Utilizza Dr.Web
- Il primo antivirus russo per Android
- Oltre 140 milioni di download solo da Google Play
- Gratis per gli utenti dei prodotti Dr.Web per privati
Vota
Rilancia la notizia sui social
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Metti il "Like"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti