Doctor Web: panoramica sull'attività di virus per dispositivi mobili a ottobre 2023

Secondo le statistiche di rilevamento di Dr.Web per dispositivi mobili Android, a ottobre 2023 il più spesso venivano rilevati sui dispositivi protetti i trojan pubblicitari appartenenti alla famiglia Android.HiddenAds. Rispetto al mese precedente, la loro attività è aumentata del 46,16%. Il numero di attacchi dei secondi trojan pubblicitari più diffusi, quelli della famiglia Android.MobiDash, anche è aumentato del 7,07%. Inoltre, gli utenti si imbattevano più spesso nelle applicazioni malevole spia e nei trojan bancari — del 18,27% e del 10,73% rispettivamente.

Durante il mese di ottobre gli specialisti dell'azienda Doctor Web hanno rilevato ulteriori minacce sullo store Google Play. Tra di esse erano decine di vari programmi falsificazione della famiglia Android.FakeApp, che vengono utilizzati dai malintenzionati per scopi fraudolenti, nonché le applicazioni trojan Android.Proxy.4gproxy, che trasformano i dispositivi Android in server proxy.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.3831

Android.HiddenAds.3697

Programmi trojan per la visualizzazione di pubblicità invadenti. I campioni di questa famiglia spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.

Android.Spy.4498

Android.Spy.5106

Rilevamento di diverse varianti di un programma trojan che rappresenta versioni alterate di mods non ufficiali dell'applicazione WhatsApp. È in grado di rubare il contenuto di notifiche, offrire l'installazione di programmi da fonti sconosciute, e durante l'utilizzo del programma di messaggistica, visualizzare finestre di dialogo con contenuto configurabile da remoto.

Android.MobiDash.7804

Programma trojan che visualizza annunci pubblicitari invadenti. È un modulo software che gli sviluppatori software incorporano nelle applicazioni.

Program.CloudInject.1

Rilevamento di applicazioni Android modificate tramite il servizio cloud CloudInject e l'omonima utility Android (aggiunta al database dei virus Dr.Web come Tool.CloudInject). Tali programmi vengono modificati sul server remoto, e l'utente (modificatore) interessato a modificarli non ha il controllo su che cosa esattamente verrà incorporato in essi. Inoltre, le applicazioni ricevono un set di autorizzazioni pericolose. Dopo la modificazione dei programmi, al modificatore compare la possibilità di gestirli in remoto: bloccarli, visualizzare dialoghi configurabili, tracciare il fatto di installazione e rimozione di altri software ecc.

Program.FakeAntiVirus.1

Rilevamento di programmi adware che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.

Program.FakeMoney.7

Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Questi programmi simulano l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Anche quando gli utenti riescono a farlo, non è possibile per loro ottenere i pagamenti.

Program.wSpy.3.origin

Programma spia commerciale per il monitoraggio nascosto dei proprietari di dispositivi Android. Consente ai malintenzionati di leggere la corrispondenza (messaggi in popolari programmi di messaggistica istantanea ed SMS), ascoltare l'ambiente, tracciare la posizione del dispositivo, monitorare la cronologia del browser, ottenere l'accesso alla rubrica e ai contatti, alle fotografie e ai video, fare screenshot e scattare fotografie con la fotocamera del dispositivo, nonché ha la funzionalità keylogger.

Program.SecretVideoRecorder.1.origin

Rilevamento di varie versioni di un'applicazione per la ripresa di foto e video in background attraverso le fotocamere integrate di dispositivi Android. Questo programma può funzionare impercettibilmente consentendo di disattivare le notifiche di registrazione, nonché cambiare con quelle false l'icona e la descrizione dell'app. Tali funzionalità lo rendono potenzialmente pericoloso.

Tool.LuckyPatcher.1.origin

Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Piattaforme software potenzialmente pericolose che consentono ad applicazioni di avviare file APK senza installazione. Queste piattaforme creano un ambiente di esecuzione virtuale nel contesto delle applicazioni in cui sono incorporate. I file APK avviati tramite di esse possono funzionare come se facessero parte di tali programmi e ricevere automaticamente le stesse autorizzazioni.

Tool.WAppBomber.1.origin

Utility Android per l'invio di messaggi di massa nell'applicazione di messaggistica WhatsApp. Per funzionare, richiede l'accesso alla lista dei contatti dalla rubrica dell'utente.

Adware.ShareInstall.1.origin

Modulo adware che può essere integrato in programmi Android. Visualizza notifiche pubblicitarie sulla schermata di blocco del sistema operativo Android.

Adware.MagicPush.1

Modulo adware che viene incorporato in applicazioni Android. Visualizza banner popup sopra l'interfaccia del sistema operativo quando questi programmi non sono in uso. Tali banner contengono informazioni fuorvianti. Il più delle volte, essi segnalano file sospetti presumibilmente rilevati, o parlano della necessità di bloccare messaggi spam od ottimizzare il consumo energetico del dispositivo. A questo scopo, all'utente viene suggerito di entrare nell'app corrispondente in cui è incorporato uno di questi moduli. All'apertura del programma vengono visualizzati annunci pubblicitari.

Adware.AdPush.39.origin

Adware.AdPush.36.origin

Moduli adware che possono essere integrati in programmi Android. Visualizzano notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questi moduli raccolgono una serie di dati riservati, nonché sono in grado di scaricare altre app e avviarne l'installazione.

Adware.Airpush.7.origin

Campione di una famiglia di moduli adware che vengono incorporati in applicazioni Android e visualizzano le più svariate pubblicità. A seconda della versione e variante, queste possono essere notifiche, finestre a comparsa o banner pubblicitari. Tramite questi moduli, i malintenzionati spesso distribuiscono programmi malevoli invitando a installare determinati software. Inoltre, tali moduli trasmettono al server remoto varie informazioni riservate.

Minacce su Google Play

A ottobre 2023 gli analisti dei virus dell'azienda Doctor Web hanno individuato sullo store Google Play oltre 50 applicazioni malevole. Tra di esse erano i trojan Android.Proxy.4gproxy.1, Android.Proxy.4gproxy.2, Android.Proxy.4gproxy.3 e Android.Proxy.4gproxy.4, i quali trasformavano i dispositivi infetti in server proxy e trasmettevano impercettibilmente attraverso di essi il traffico di terzi. Le diverse varianti del primo trojan venivano distribuite con il pretesto del gioco Photo Puzzle, del programma Sleepify per la lotta all'insonnia e dello strumento Rizzo The AI chatbot per l'utilizzo del chatbot. Il secondo era nascosto in un'applicazione per la visualizzazione di previsioni meteo: Premium Weather Pro. Il terzo era incorporato in un programma taccuino: Turbo Notes. Il quarto veniva distribuito dai malintenzionati con il pretesto dell'app Draw E per la creazione di immagini tramite intelligenza artificiale.

In questi programmi malevoli è integrata un'utility chiamata 4gproxy (rilevata da Dr.Web come Tool.4gproxy), la quale consente di utilizzare i dispositivi Android come un server proxy. Non è malevola di per sé e può essere utilizzata per scopi innocui. Tuttavia, nel caso dei trojan indicati sopra, l'utilizzo del proxy avviene senza la partecipazione degli utenti e il loro esplicito consenso.

Oltre a ciò, i nostri specialisti hanno individuato decine di nuovi programmi trojan della famiglia Android.FakeApp, una parte dei quali di nuovo veniva distribuita sotto le mentite spoglie di applicazioni finanziarie (ad esempio, Android.FakeApp.1459, Android.FakeApp.1460, Android.FakeApp.1461, Android.FakeApp.1462, Android.FakeApp.1472, Android.FakeApp.1474 e Android.FakeApp.1485). Il loro obiettivo principale è caricare siti web fraudolenti su cui alle potenziali vittime viene suggerito di diventare investitori. I malintenzionati chiedono i dati personali agli utenti e li invitano a investire denaro in quello che presumibilmente sarebbe progetti o strumenti finanziari redditizi.

Altri programmi falsificazione (Android.FakeApp.1433, Android.FakeApp.1444, Android.FakeApp.1450, Android.FakeApp.1451, Android.FakeApp.1455, Android.FakeApp.1457, Android.FakeApp.1476 e altri ancora) di nuovo erano mascherati da vari giochi. A determinate condizioni, invece di avviare i giochi, essi caricavano siti di casinò online o di scommesse.

Esempi di funzionamento come giochi di queste applicazioni trojan:

Esempi di siti di casinò online e di scommesse da essi caricati:

Anche il trojan Android.FakeApp.1478 eseguiva un compito simile — era nascosto in un programma per la lettura di notizie e pubblicazioni di argomento sportivo ed era in grado di caricare siti di scommesse.

Inoltre, sono stati rilevati nuovi programmi trojan presumibilmente studiati per aiutare i proprietari di dispostivi Android a trovare lavoro. Uno di essi si chiamava Rixx (Android.FakeApp.1468), l'altro Catalogue (Android.FakeApp.1471). All'avvio queste applicazioni malevole visualizzano una falsa lista di offerte di lavoro. Quando le potenziali vittime cercano di rispondere a uno degli annunci, loro viene chiesto di indicare i dati personali in un apposito modulo o contattare il "datore di lavoro" tramite le app di messaggistica, ad esempio WhatsApp o Telegram.

Di seguito è riportato un esempio di funzionamento di uno di questi programmi malevoli. Il trojan visualizza un modulo di phishing sotto le sembianze della finestra per la stesura del CV o invita a contattare il "datore di lavoro" tramite l'app di messaggistica.

Per proteggere i dispositivi Android dai programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Indicatori di compromissione

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

• Il primo antivirus russo per Android
• Oltre 140 milioni di download solo da Google Play
• Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis