Doctor Web: panoramica sull'attività di virus per dispositivi mobili a dicembre 2023

Secondo le statistiche di rilevamento di Dr.Web per dispositivi mobili Android, a dicembre 2023 le applicazioni malevole più attive di nuovo sono stati i programmi trojan pubblicitari Android.HiddenAds. Tuttavia, gli utenti dovevano affrontarli il 53,89% meno spesso rispetto al mese prima. Inoltre, è diminuito il numero di attacchi dei programmi trojan bancari e delle applicazioni spia — dello 0,88% e del 10,83% rispettivamente.

Durante l'ultimo mese dell'anno passato, gli analisti dei virus dell'azienda Doctor Web hanno identificato sullo store di app Google Play ennesimi programmi falsificazione dalla famiglia Android.FakeApp, che vengono impiegati in vari schemi di frode. Inoltre, i nostri specialisti hanno rilevato ulteriori siti attraverso cui i malintenzionati distribuivano le false applicazioni di portafogli cripto.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.Spy.5106

Rilevamento di un programma trojan che rappresenta versioni alterate di mods non ufficiali dell'applicazione WhatsApp. È in grado di rubare il contenuto di notifiche, offrire l'installazione di programmi da fonti sconosciute, e durante l'utilizzo del programma di messaggistica, visualizzare finestre di dialogo con contenuto configurabile da remoto.

Android.HiddenAds.3831

Android.HiddenAds.3851

Programmi trojan per la visualizzazione di pubblicità invadenti. I campioni di questa famiglia spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.

Android.MobiDash.7805

Programma trojan che visualizza annunci pubblicitari invadenti. È un modulo software che gli sviluppatori software incorporano nelle applicazioni.

Android.Click.1751

Trojan che viene incorporato in mods dell'applicazione di messaggistica istantanea WhatsApp e si maschera da classi delle librerie di Google. Nel corso dell'utilizzo dell'applicazione vettore, Android.Click.1751 effettua richieste a uno dei server di comando e controllo. In risposta, il trojan riceve due link, uno dei quali è destinato agli utenti di lingua russa, e il secondo a tutti gli altri utenti. Quindi visualizza una finestra di dialogo con il contenuto ricevuto dal server, e dopo che l'utente fa clic sul pulsante di conferma, carica il link corrispondente nel browser.

Program.CloudInject.1

Rilevamento di applicazioni Android modificate tramite il servizio cloud CloudInject e l'omonima utility Android (aggiunta al database dei virus Dr.Web come Tool.CloudInject). Tali programmi vengono modificati sul server remoto, e l'utente (modificatore) interessato a modificarli non ha il controllo su che cosa esattamente verrà incorporato in essi. Inoltre, le applicazioni ricevono un set di autorizzazioni pericolose. Dopo la modificazione dei programmi, al modificatore compare la possibilità di gestirli in remoto: bloccarli, visualizzare dialoghi configurabili, tracciare il fatto di installazione e rimozione di altri software ecc.

Program.FakeAntiVirus.1

Rilevamento di programmi adware che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.

Program.wSpy.3.origin

Programma spia commerciale per il monitoraggio nascosto dei proprietari di dispositivi Android. Consente ai malintenzionati di leggere la corrispondenza (messaggi in popolari programmi di messaggistica istantanea ed SMS), ascoltare l'ambiente, tracciare la posizione del dispositivo, monitorare la cronologia del browser, ottenere l'accesso alla rubrica e ai contatti, alle fotografie e ai video, fare screenshot e scattare fotografie con la fotocamera del dispositivo, nonché ha la funzionalità keylogger.

Program.FakeMoney.7

Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Questi programmi simulano l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Anche quando gli utenti riescono a farlo, non è possibile per loro ottenere i pagamenti.

Program.SecretVideoRecorder.1.origin

Rilevamento di varie versioni di un'applicazione per la ripresa di foto e video in background attraverso le fotocamere integrate di dispositivi Android. Questo programma può funzionare impercettibilmente consentendo di disattivare le notifiche di registrazione, nonché cambiare con quelle false l'icona e la descrizione dell'app. Tali funzionalità lo rendono potenzialmente pericoloso.

Tool.NPMod.1

Rilevamento di applicazioni Android modificate tramite l'utility NP Manager. In tali programmi è incorporato un modulo speciale che consente di aggirare il controllo della firma digitale successivamente alla loro modifica.

Tool.LuckyPatcher.1.origin

Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Piattaforme software potenzialmente pericolose che consentono ad applicazioni di avviare file APK senza installazione. Queste piattaforme creano un ambiente di esecuzione virtuale nel contesto delle applicazioni in cui sono incorporate. I file APK avviati tramite di esse possono funzionare come se facessero parte di tali programmi e ricevere automaticamente le stesse autorizzazioni.

Tool.ApkProtector.16.origin

Rilevamento di applicazioni Android protette dal software packer ApkProtector. Questo packer non è malevolo, tuttavia, i malintenzionati possono utilizzarlo nella creazione di programmi trojan e indesiderati per renderne più difficile il rilevamento da parte degli antivirus.

Adware.ShareInstall.1.origin

Modulo adware che può essere integrato in programmi Android. Visualizza notifiche pubblicitarie sulla schermata di blocco del sistema operativo Android.

Adware.Adpush.21846

Adware.AdPush.39.origin

Moduli adware che possono essere integrati in programmi Android. Visualizzano notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questi moduli raccolgono una serie di dati riservati, nonché sono in grado di scaricare altre app e avviarne l'installazione.

Adware.Airpush.7.origin

Campione di una famiglia di moduli adware che vengono incorporati in applicazioni Android e visualizzano le più svariate pubblicità. A seconda della versione e variante, queste possono essere notifiche, finestre a comparsa o banner pubblicitari. Tramite questi moduli, i malintenzionati spesso distribuiscono programmi malevoli invitando a installare determinati software. Inoltre, tali moduli trasmettono al server remoto varie informazioni riservate.

Adware.Fictus.1.origin

Modulo adware che i malintenzionati incorporano in versioni clone di popolari giochi e programmi Android. Viene integrato in programmi tramite un packer specializzato net2share. Le copie di software create in questo modo vengono distribuite attraverso diversi store di app e dopo l'installazione visualizzano pubblicità indesiderate.

Minacce su Google Play

A dicembre 2023 gli specialisti dell'azienda Doctor Web hanno individuato sullo store di app Google Play nuovi programmi trojan dalla famiglia Android.FakeApp. Ad esempio, Android.FakeApp.1564 veniva distribuito dai malintenzionati sotto le apparenze di un'applicazione che consente di tenere un registro dei debiti. Il trojan Android.FakeApp.1563 si nascondeva in un programma per la partecipazione a sondaggi. Mentre Android.FakeApp.1569 i malintenzionati spacciavano per uno strumento che aiuta ad aumentare la produttività e creare buone abitudini.

Tutti questi programmi falsificazione caricavano i siti fraudolenti a tema finanziario che copiavano il design dei veri siti web di banche, agenzie di stampa e altre note organizzazioni. Inoltre, nel design venivano utilizzati i nomi e loghi corrispondenti. Su tali risorse internet, gli utenti venivano invitati a diventare investitori, seguire un corso di alfabetizzazione finanziaria, ottenere un sostegno finanziario ecc. Per questi scopi, loro veniva chiesto di indicare i propri dati personali — che presumibilmente sarebbero necessari per registrare un account e ottenere l'accesso ai servizi web corrispondenti.

Esempi di falsi siti caricati dai trojan:

Le applicazioni malevole Android.FakeApp.1566, Android.FakeApp.1567 e Android.FakeApp.1568 venivano distribuite con il pretesto di giochi:

Potevano, invece di avviare i giochi, caricare i siti di scommesse e casinò online, come è mostrato nell'esempio sottostante.

Funzionamento di uno di questi programmi trojan in modalità gioco:

Uno dei siti da esso caricati:

Per proteggere i dispositivi Android dai programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Indicatori di compromissione

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

• Il primo antivirus russo per Android
• Oltre 140 milioni di download solo da Google Play
• Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis