La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Torna alla lista delle notizie

Doctor Web: quasi 102.000.000 di utenti Android hanno installato un trojan clicker da Google Play

8 agosto 2019

I trojan clicker sono programmi malevoli diffusi studiati per l'aumento falsificato del numero di visite a siti web e la monetizzazione del traffico online. Simulano le attività degli utenti su pagine web cliccando sui link e altri elementi interattivi in esse collocati. Gli analisti Doctor Web hanno rilevato su Google Play un altro simile trojan.

Il trojan è un modulo malevolo, è stato denominato Android.Click.312.origin secondo la classificazione Dr.Web. È integrato in applicazioni usuali: dizionari, mappe online, lettori audio, scanner di codici a barre e altri software. Tutti questi programmi sono operativi e sembrano innocui ai proprietari di dispositivi Android. Oltre a ciò, quando i programmi vengono avviati, Android.Click.312.origin inizia l'attività malevola dopo 8 ore per non destare sospetti.

Dopo aver iniziato a funzionare, il trojan trasmette sul server di gestione le seguenti informazioni sul dispositivo infetto:

  • produttore e modello;
  • versione del SO;
  • paese di residenza dell'utente e lingua predefinita del sistema;
  • identificatore User-Agent;
  • nome dell'operatore mobile;
  • tipo di connessione internet;
  • parametri dello schermo;
  • fuso orario;
  • informazioni sull'applicazione in cui è incorporato il trojan.

In risposta il server gli invia le impostazioni necessarie. Alcune funzioni dell'applicazione malevola sono implementate tramite la riflessione, e in queste impostazioni sono contenuti i nomi dei metodi e delle classi insieme ai parametri per essi. Questi parametri vengono utilizzati, ad esempio, per un ricevitore di messaggi broadcast e un osservatore di contenuti attraverso cui Android.Click.312.origin monitora l'installazione e l'aggiornamento dei programmi.

Quando viene installata una nuova applicazione o viene scaricato un file apk dal client Play Store, il trojan trasmette sul server di gestione informazioni su questo programma insieme ad alcuni dati tecnici sul dispositivo. In risposta Android.Click.312.origin riceve indirizzi di siti che quindi apre in WebView invisibili, e inoltre, link che carica nel browser o in Google Play.

Pertanto, a seconda delle impostazioni del server di gestione e delle istruzioni ricevute, il trojan non solo può pubblicizzare applicazioni su Google Play, ma anche caricare impercettibilmente qualsiasi sito, inclusi quelli con la pubblicità (incluso il video) o altri contenuti discutibili. Ad esempio, dopo aver installato le applicazioni in cui era incorporato questo trojan, gli utenti si lamentavano di abbonamenti automatici a costosi servizi di provider di contenuti.

Android.Backdoor.736.origin #drweb

Fig. 1. Commento del primo utente: Dopo l'installazione attiva abbonamenti a pagamento! Attenti, non installate mai questa app.

Risposta dello sviluppatore: Abbonamenti a che cosa? Lei sbaglia.

Commento del secondo utente: Dopo l'installazione sono stati attivati 5 abbonamenti e i soldi sul telefono sono esauriti.

Android.Backdoor.736.origin #drweb

Fig. 2. Commento dell'utente: Questo è uno scherzo? Abbonamenti a pagamento da Beeline (operatore mobile russo). Non ho a che vedere con Beeline.

Android.Backdoor.736.origin #drweb

Fig. 3. Commento dell'utente: Una volta si accede, subito addebita 50 rubli non so perché. Spiegate per favore questa cosa.

Android.Backdoor.736.origin #drweb

Fig. 4. Commento dell'utente: Dopo che ho utilizzato il programma, mi abbonano a degli abbonamenti dubbi.

Gli specialisti Doctor Web non hanno potuto ricostruire le condizioni per il caricamento di tali siti dal trojan, però la potenziale implementazione di questo schema fraudolento nel caso di Android.Click.312.origin è abbastanza semplice. Il trojan segnala al server di gestione il tipo di connessione internet corrente, e se c'è una connessione attraverso la rete di un operatore mobile, il server può trasmettere un comando di apertura del sito web di uno dei servizi partner che supportano la tecnologia WAP-Сlick. Questa tecnologia semplifica l'iscrizione a vari servizi premium, però viene spesso utilizzata per abbonare illegalmente gli utenti a servizi a pagamento. La nostra azienda ha informato sul problema indicato nel 2017 e 2018. In alcuni casi non serve nemmeno la conferma dell'utente per effettuare l'abbonamento a un servizio non richiesto — se ne prende cura uno script situato sulla stessa pagina o il trojan stesso. È lui che "farà clic" sul pulsante di conferma. In quanto Android.Click.312.origin aprirà la pagina di tale sito in una WebView invisibile, l'intera procedura si svolgerà senza la conoscenza e la partecipazione della vittima.

Gli analisti Doctor Web hanno individuato 34 applicazioni in cui era incorporato Android.Click.312.origin. Sono state installate da oltre 51.700.000 utenti. Inoltre, una variante del trojan, denominata Android.Click.313.origin, è stata scaricata da almeno 50.000.000 di utenti. Così, il numero totale di proprietari di dispositivi mobili minacciati da questo trojan ha superato 101.700.000. Di seguito è presentata la lista dei programmi in cui è stato trovato questo clicker:

GPS Fix
QR Code Reader
ai.type Free Emoji Keyboard
Cricket Mazza Live Line
English Urdu Dictionary Offline - Learn English
EMI Calculator - Loan & Finance Planner
Pedometer Step Counter - Fitness Tracker
Route Finder
PDF Viewer - EBook Reader
GPS Speedometer
GPS Speedometer PRO
Notepad - Text Editor
Notepad - Text Editor PRO
Who unfriended me?
Who deleted me?
GPS Route Finder & Transit: Maps Navigation Live
Muslim Prayer Times & Qibla Compass
Qibla Compass - Prayer Times, Quran, Kalma, Azan
Full Quran MP3 - 50+ Audio Translation & Languages
Al Quran Mp3 - 50 Reciters & Translation Audio
Prayer Times: Azan, Quran, Qibla Compass
Ramadan Times: Muslim Prayers, Duas, Azan & Qibla
OK Google Voice Commands (Guide)
Sikh World - Nitnem & Live Gurbani Radio
1300 Math Formulas Mega Pack
Obshchestvoznanije - shkolnyj kurs. EGE e OGE.
(in russo, Scienze sociali - corso di studio per la scuola. Esame di stato unificato ed Esame di stato di base.)
Bombuj - Filmy a seriály zadarmo
Video to MP3 Converter, RINGTONE Maker, MP3 Cutter
Power VPN Free VPN
Earth Live Cam - Public Webcams Online
QR & Barcode Scanner
Remove Object from Photo - Unwanted Object Remover
Cover art IRCTC Train PNR Status, NTES Rail Running Status

L'azienda Doctor Web ha trasmesso informazioni su questo trojan a Google, dopo di che alcuni dei programmi trovati sono stati rapidamente rimossi da Google Play. Inoltre, per alcune applicazioni sono stati rilasciati aggiornamenti da cui il componente trojan è già assente. Ciononostante, al momento della pubblicazione di questa notizia, la maggior parte delle applicazioni conteneva ancora il modulo malevolo e rimaneva disponibile per il download.

Gli analisti di virus consigliano agli sviluppatori di scegliere responsabilmente i moduli per la monetizzazione delle applicazioni e non integrare SDK inaffidabili nei propri software. I prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo i programmi in cui sono incorporate le varianti conosciute del trojan Android.Click.312.origin, perciò esso non rappresenta alcun pericolo per i nostri utenti.

Informazioni su Android.Click.312.origin

Dr.Web Mobile Security

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

  • Il primo antivirus russo per Android
  • Oltre 140 milioni di download solo da Google Play
  • Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis

#Android #Google_Play

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti