Si utilizza un browser obsoleto!
La pagina può visualizzarsi in modo non corretto.
6 aprile 2023
Meno spesso sui dispositivi protetti da Dr.Web venivano rilevati le applicazioni trojan bancarie e i programmi ransomware — rispettivamente del 70,57% e 14,63%. Inoltre, è diminuita del 33,93% l'attività delle applicazioni trojan spia, le più diffuse tra cui sono state diverse varianti di un trojan che attacca gli utenti di alcune mods non ufficiali del programma di messaggistica istantanea WhatsApp.
Durante il mese di febbraio, il laboratorio dei virus dell'azienda Doctor Web ha individuato sullo store Google Play oltre 70 applicazioni malevole. La maggioranza apparteneva alla famiglia di programmi fraudolenti Android.FakeApp. C'erano anche tra di esse le applicazioni trojan che abbonavano le vittime a servizi a pagamento.
A febbraio 2023 gli analisti dei virus dell'azienda Doctor Web hanno individuato sullo store Google Play ulteriori applicazioni malevole che abbonavano proprietari di dispostivi Android a servizi a pagamento. Così, i programmi trojan della famiglia Android.Subscription, chiamati Android.Subscription.19 e Android.Subscription.20, venivano distribuiti sotto le apparenze di una raccolta di immagini WPHD - Wallpapers 4K e un'utility per il ripristino di file rimossi Back File.
Le applicazioni malevole di questo tipo, quando vengono avviate, caricano siti di servizi a pagamento e cercano di sottoscrivere un abbonamento o in maniera automatica o invitando gli utenti a indicare il proprio numero di cellulare. Di seguito sono presentati esempi di siti web che i programmi trojan rilevati caricavano allo scopo di registrare un abbonamento a pagamento:
Mentre i nuovi campioni della famiglia Android.Joker, chiamati Android.Joker.2038 e Android.Joker.2039, erano nascosti in un'app per la protezione di file da accessi non autorizzati Photo Safe e in un programma, Home Security Camera, che consentiva di gestire telecamere di sorveglianza tramite smartphone o utilizzare il dispositivo stesso in modalità di videosorveglianza. Questi programmi malevoli caricano i siti di servizi di destinazione impercettibilmente, dopodiché iscrivono in autonomo le vittime a servizi a pagamento.
Inoltre, i nostri specialisti hanno rilevato decine di falsi programmi della famiglia Android.FakeApp, i quali venivano distribuiti con il pretesto di una varietà di software. I malintenzionati spacciavano molti di essi per varie app a tema finanziario — guide e tutorial, programmi per la partecipazione a sondaggi, il trading e la visualizzazione di dati sulle quotazioni, strumenti per tenere la contabilità domestica ecc. Tra questi sono Android.FakeApp.1219, Android.FakeApp.1220, Android.FakeApp.1221, Android.FakeApp.1226, Android.FakeApp.1228, Android.FakeApp.1229, Android.FakeApp.1231, Android.FakeApp.1232, Android.FakeApp.1241 e altri ancora.
Se gli utenti li installavano facendo clic su un apposito link (ad esempio, quello da un annuncio pubblicitario), all'avvio dei programmi venivano caricati siti fraudolenti. Su di essi le potenziali vittime venivano invitate a partecipare a un breve sondaggio e ottenere l'accesso a una "piattaforma di investimento" registrando un account con l'indicazione dei dati personali. Se l'installazione dei programmi era organica (cioè gli utenti trovavano e installavano tali app falsificazione di propria iniziativa), alcuni di essi, invece di caricare i siti di truffatori, dimostravano le funzionalità che ci si aspettavano.
Esempi di siti fraudolenti da essi caricati:
I malintenzionati presentavano una serie di programmi come app a tema sportivo o software ufficiali di bookmaker.
Alcuni di essi (Android.FakeApp.1192, Android.FakeApp.1193, Android.FakeApp.1194, Android.FakeApp.22.origin, Android.FakeApp.1195, Android.FakeApp.1196 e altri ancora) eseguivano un controllo dei dispositivi su cui erano in esecuzione. Se scoprivano che questi dispositivi erano test (ad esempio, con SIM assente o modelli della linea Nexus), attivavano le funzionalità innocue — lanciavano giochi, quiz, caricavano tabelle sportive, informazioni su partite ecc. Altrimenti, aprivano in una WebView o nel browser siti i cui indirizzi ottenevano da un database Firebase. Altri tali falsi programmi (Android.FakeApp.1197, Android.FakeApp.1198, Android.FakeApp.1199, Android.FakeApp.1200, Android.FakeApp.1201, Android.FakeApp.1202, Android.FakeApp.1204, Android.FakeApp.1209, Android.FakeApp.1212 e altri ancora) si connettevano al server remoto il quale prendeva la decisione se attivare le funzionalità innocue nascoste o caricare un determinato sito. Mentre il programma trojan Android.FakeApp.1203 otteneva i link per i caricamento di siti dal servizio cloud Firebase Remote Config. Di seguito sono riportati esempi di funzionamento di questi programmi.
Avvio di giochi e caricamento di una tabella di partite di calcio:
Le stesse app caricano siti di bookmaker:
I programmi falsificazione che venivano distribuiti con il pretesto di giochi Android.FakeApp.1222, Android.FakeApp.1224, Android.FakeApp.1225 e Android.FakeApp.1235, invece delle funzionalità di gioco, potevano caricare nel browser Google Chrome i siti di casinò online.
Esempio di funzionamento di uno di essi in modalità gioco:
Esempi di pagine web da essi caricati:
Tra le falsificazioni individuate, c'era anche un ulteriore programma che veniva distribuito sotto le sembianze di uno strumento per la ricerca di lavoro e caricava siti fraudolenti con una lista di finte offerte lavoro. Quando gli utenti sceglievano uno degli annunci, loro veniva suggerito o di lasciare i propri dati di contatto compilando un apposito modulo, o di contattare il "datore di lavoro" direttamente attraverso un'app di messaggistica. Questa falsificazione è una delle varianti di un'applicazione trojan conosciuta dalla fine del 2022 che viene rilevata da Dr.Web come Android.FakeApp.1133.
Per proteggere i dispositivi Android da programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.