Doctor Web: panoramica sull'attività di virus per dispositivi mobili a gennaio 2024

Secondo le statistiche di rilevamento di Dr.Web per dispositivi mobili Android, a gennaio 2024 gli utenti dovevano riscontrare il più frequentemente le applicazioni trojan pubblicitarie Android.HiddenAds. Rispetto a dicembre 2023, venivano rilevate sui dispositivi protetti il 54,45% più spesso. Nel frattempo, l'attività di un'altra popolare famiglia di programmi trojan pubblicitari Android.MobiDash è rimasta praticamente invariata aumentando del solo 0,9%.

Il numero di attacchi dei trojan bancari di varie famiglie è cresciuto del 17,04%, quello dei programmi trojan spia Android.Spy dell'11,16%, mentre quello dei programmi malevoli ransomware Android.Locker dell'insignificante 0,92%.

Allo stesso tempo, i nostri specialisti hanno individuato ulteriori minacce sullo store di app Google Play. Tra di esse, una nuova famiglia di moduli pubblicitari indesiderati — Adware.StrawAd, nonché alcuni programmi trojan della famiglia Android.FakeApp. Questi ultimi vengono utilizzati dai malintenzionati per realizzare i più svariati schemi di truffa.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.3851

Android.HiddenAds.3831

Programmi trojan per la visualizzazione di pubblicità invadenti. I campioni di questa famiglia spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.

Android.Spy.5106

Android.Spy.4498

Rilevamento di un programma trojan che rappresenta versioni alterate di mods non ufficiali dell'applicazione WhatsApp. È in grado di rubare il contenuto di notifiche, offrire l'installazione di programmi da fonti sconosciute, e durante l'utilizzo del programma di messaggistica, visualizzare finestre di dialogo con contenuto configurabile da remoto.

Android.MobiDash.7805

Programma trojan che visualizza annunci pubblicitari invadenti. È un modulo software che gli sviluppatori software incorporano nelle applicazioni.

Program.CloudInject.1

Rilevamento di applicazioni Android modificate tramite il servizio cloud CloudInject e l'omonima utility Android (aggiunta al database dei virus Dr.Web come Tool.CloudInject). Tali programmi vengono modificati sul server remoto, e l'utente (modificatore) interessato a modificarli non ha il controllo su che cosa esattamente verrà incorporato in essi. Inoltre, le applicazioni ricevono un set di autorizzazioni pericolose. Dopo la modificazione dei programmi, al modificatore compare la possibilità di gestirli in remoto: bloccarli, visualizzare dialoghi configurabili, tracciare l'installazione e la rimozione di altri software ecc.

Program.FakeAntiVirus.1

Rilevamento di programmi adware che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.

Program.wSpy.3.origin

Programma spia commerciale per il monitoraggio nascosto dei proprietari di dispositivi Android. Consente ai malintenzionati di leggere la corrispondenza (messaggi in popolari programmi di messaggistica istantanea ed SMS), ascoltare l'ambiente, tracciare la posizione del dispositivo, monitorare la cronologia del browser, ottenere l'accesso alla rubrica e ai contatti, alle fotografie e ai video, fare screenshot e scattare fotografie con la fotocamera del dispositivo, nonché ha la funzionalità keylogger.

Program.FakeMoney.7

Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Questi programmi simulano l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Anche quando gli utenti riescono a farlo, non è possibile per loro ottenere i pagamenti.

Program.TrackView.1.origin

Rilevamento di un'applicazione che consente di monitorare gli utenti attraverso i dispositivi Android. Utilizzando questo programma, i malintenzionati possono rilevare la posizione dei dispositivi di destinazione, utilizzare la fotocamera per registrare video e scattare foto, effettuare l'ascolto tramite il microfono, creare registrazioni audio ecc.

Tool.NPMod.1

Rilevamento di applicazioni Android modificate tramite l'utility NP Manager. In tali programmi è incorporato un modulo speciale che consente di aggirare il controllo della firma digitale successivamente alla loro modifica.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Piattaforme software potenzialmente pericolose che consentono ad applicazioni di avviare file APK senza installazione. Queste piattaforme creano un ambiente di esecuzione virtuale nel contesto delle applicazioni in cui sono incorporate. I file APK avviati tramite di esse possono funzionare come se facessero parte di tali programmi e ricevere automaticamente le stesse autorizzazioni.

Tool.LuckyPatcher.1.origin

Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.

Adware.StrawAd.1

Rilevamento di applicazioni Android in cui è incorporato il modulo pubblicitario indesiderato Adware.StrawAd.1.origin. Allo sblocco dello schermo dei dispostivi Android, questo modulo visualizza annunci da vari fornitori di servizi pubblicitari.

Adware.AdPush.39.origin

Adware.Adpush.21846

Moduli adware che possono essere integrati in programmi Android. Visualizzano notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questi moduli raccolgono una serie di dati riservati, nonché sono in grado di scaricare altre app e avviarne l'installazione.

Adware.Airpush.7.origin

Campione di una famiglia di moduli adware che vengono incorporati in applicazioni Android e visualizzano le più svariate pubblicità. A seconda della versione e variante, queste possono essere notifiche, finestre a comparsa o banner pubblicitari. Tramite questi moduli, i malintenzionati spesso distribuiscono programmi malevoli invitando a installare determinati software. Inoltre, tali moduli trasmettono al server remoto varie informazioni riservate.

Adware.ShareInstall.1.origin

Modulo adware che può essere integrato in programmi Android. Visualizza notifiche pubblicitarie sulla schermata di blocco del sistema operativo Android.

Minacce su Google Play

All'inizio di gennaio 2024, il laboratorio dei virus dell'azienda Doctor Web ha rilevato sullo store di app Google Play una serie di giochi in cui era incorporata una piattaforma pubblicitaria indesiderata Adware.StrawAd.1.origin:

• Crazy Sandwich Runner
• Purple Shaker Master
• Poppy Punch Playtime, Meme Cat Killer
• Toiletmon Camera Playtime
• Finger Heart Matching
• Toilet Monster Defense
• Toilet Camera Battle
• Toimon Battle Playground

Questa piattaforma rappresenta un modulo software specializzato che è conservato in forma cifrata nella directory delle risorse dei programmi portatore. Al momento dello sblocco dello schermo, può visualizzare annunci da vari fornitori di servizi pubblicitari. Antivirus Dr.Web rileva le applicazioni con Adware.StrawAd.1.origin come campioni appartenenti alla famiglia Adware.StrawAd.

Inoltre, durante il mese di gennaio, i nostri specialisti hanno individuato una serie di programmi malevoli falsificazione dalla famiglia Android.FakeApp. Così, il trojan Android.FakeApp.1579 si nascondeva in un'app, Pleasant Collection, mascherata da un programma per la lettura di fumetti.

Il suo unico obiettivo, però, era quello di caricare varie risorse internet truffa. Tra di esse potevano essere siti che presumibilmente consentirebbero di ottenere l'accesso a determinati giochi, anche ricadenti nella categoria "per adulti". Di seguito è mostrato un esempio di uno di tali siti.

In questo caso, la potenziale vittima, prima "dell'inizio" del gioco, veniva invitata a rispondere ad alcune domande, dopodiché indicare i propri dati personali, e quindi anche i dati della propria carta bancaria — il che presumibilmente sarebbe necessario per controllare l'età.

Tra i campioni rilevati della famiglia Android.FakeApp erano di nuovo programmi distribuiti sotto le apparenze di giochi. Sono stati aggiunti al database dei virus dell'antivirus Dr.Web come Android.FakeApp.1573, Android.FakeApp.1574, Android.FakeApp.1575, Android.FakeApp.1577 e Android.FakeApp.32.origin.

A determinate condizioni, queste false app potevano caricare siti di casinò online e di scommesse. Esempio del loro funzionamento come giochi:

Esempio di uno dei siti da essi caricati:

Caricare siti di casinò online e scommesse era l'obiettivo anche di alcuni altri trojan. Così, Android.FakeApp.1576 si nascondeva in un programma di tutorial sul trucco, Contour Casino Glam, e in uno strumento per creare meme, Fortune Meme Studio. Mentre Android.FakeApp.1578 si trovava in un'app torcia chiamata Lucky Flash Casino Light.

Dopo l'installazione, funzionavano come applicazioni innocue, ma dopo qualche tempo, potevano iniziare a caricare i siti di destinazione.

Inoltre, i malintenzionati distribuivano diverse varianti dei trojan Android.FakeApp.1564 e Android.FakeApp.1580 sotto le apparenze di applicazioni finanziarie, guide, programmi per la partecipazione a sondaggi e altri software.

Questi falsi programmi caricavano siti truffa a tema finanziario su cui alle potenziali vittime, presumibilmente a nome di note aziende, venivano offerti diversi servizi. Ad esempio, gli utenti "potevano" diventare investitori o migliorare la propria alfabetizzazione finanziaria. Per "accedere" a un determinato servizio, loro dovevano completare un sondaggio e registrare un account indicando i dati personali.

Esempi di siti caricati:

Per proteggere i dispositivi Android dai programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Indicatori di compromissione

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

• Il primo antivirus russo per Android
• Oltre 140 milioni di download solo da Google Play
• Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis