PER UTENTI

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Ricerca
Ricerca

Supporto
Supporto 24/7 | Regole per contattare

Scrivi

Una richiesta attraverso il modulo

Chiama

+7 (495) 789-45-86

Forum

Richieste

Crea nuova richiesta

Chiama

+7 (495) 789-45-86

Profile

IT

RU CN DE EN ES FR IT JP KZ UZ PL BY
Chiudi
News

Notizie per argomento

Notizie sui virus
"Mondo antivirus!"
Ticker
Ufficio stampa

Doctor Web: panoramica sull'attività di virus per dispositivi mobili in I trimestre 2025

27 marzo 2025

Secondo le statistiche di rilevamento di Dr.Web Security Space per dispositivi mobili, nel I trimestre 2025 i trojan pubblicitari Android.HiddenAds sono rimasti i programmi malevoli per SO Android più diffusi. Rispetto al IV trimestre scorso, i loro rilevamenti sui dispositivi protetti sono stati più del doppio. Il secondo posto hanno ottenuto le applicazioni malevole Android.FakeApp, utilizzate dai malintenzionati in vari schemi fraudolenti; la loro attività è aumentata di quasi 8%. Terzi si sono classificati i trojan pubblicitari della famiglia Android.MobiDash — il loro numero di rilevamenti è cresciuto di quasi 5 volte.

Una simile dinamica veniva osservata anche tra molti trojan bancari. Così, è stata registrata una crescita del numero di attacchi da parte dei campioni delle famiglie Android.BankBot e Android.Banker — del 20,68% e 151,71% rispettivamente. Allo stesso tempo, i trojan Android.SpyMax, la cui attività cresceva quasi per tutto il 2024, venivano rilevati il 41,94% in meno rispetto al trimestre prima.

Durante gli ultimi 3 mesi, gli specialisti Doctor Web hanno individuato decine di nuove minacce informatiche sullo store di app Google Play. Accanto a un numero di trojan Android.FakeApp tradizionalmente alto, il nostro laboratorio dei virus ha registrato lì i programmi malevoli per il furto di criptovalute, nonché gli ennesimi trojan che visualizzano annunci invadenti.

PRINCIPALI TENDENZE DI I TRIMESTRE

  • Crescita dell'attività dei trojan pubblicitari
  • Aumento del numero di attacchi dei banker Android.BankBot e Android.Banker
  • Calo dell'attività dei trojan spia Android.SpyMax
  • Su Google Play comparse molteplici nuove applicazioni malevole

Secondo i dati di Dr.Web Security Space per dispositivi mobili

Malware_Stat_Q1_2025
Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214
Programmi trojan per la visualizzazione di pubblicità invadenti. I campioni della famiglia Android.HiddenAds spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.
Android.FakeApp.1600
Programma trojan che carica il sito web specificato nelle sue impostazioni. Le varianti conosciute di questa applicazione malevola caricano un sito di casinò online.
Android.MobiDash.7859
Programma trojan che visualizza annunci pubblicitari invadenti. È un modulo software che gli sviluppatori software incorporano nelle applicazioni.
Unwanted_Stat_Q1_2025
Program.FakeMoney.11
Program.FakeMoney.14
Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Questi programmi simulano l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Di solito hanno una lista dei sistemi di pagamento e delle banche più popolari attraverso cui presumibilmente sarebbe possibile trasferire i premi. Ma anche quando gli utenti riescono ad accumulare una somma sufficiente per il prelievo, non ricevono i pagamenti promessi. Con questo record vengono rilevati anche altri software indesiderati basati sul codice di tali programmi.
Program.FakeAntiVirus.1
Rilevamento di programmi adware che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.
Program.CloudInject.1
Rilevamento di applicazioni Android modificate tramite il servizio cloud CloudInject e l'omonima utility Android (aggiunta al database dei virus Dr.Web com Tool.CloudInject). Tali programmi vengono modificati sul server remoto, e l'utente (modificatore) interessato a modificarli non ha il controllo su che cosa esattamente verrà incorporato in essi. Inoltre, le applicazioni ricevono un set di autorizzazioni pericolose. Dopo la modificazione dei programmi, al modificatore compare la possibilità di gestirli in remoto: bloccarli, visualizzare dialoghi configurabili, tracciare l'installazione e la rimozione di altri software ecc.
Program.TrackView.1.origin
Rilevamento di un'applicazione che consente di monitorare gli utenti attraverso i dispositivi Android. Utilizzando questo programma, i malintenzionati possono rilevare la posizione dei dispositivi di destinazione, utilizzare la fotocamera per registrare video e scattare foto, effettuare l'ascolto tramite il microfono, creare registrazioni audio ecc.
Riskware_Stat_Q1_2025
Tool.NPMod.1
Rilevamento di applicazioni Android modificate tramite l'utility NP Manager. In tali programmi è incorporato un modulo speciale che consente di aggirare il controllo della firma digitale dopo la loro modifica.
Tool.Androlua.1.origin
Rilevamento di una serie di versioni potenzialmente pericolose di un framework specializzato per lo sviluppo di programmi Android nel linguaggio di programmazione di scripting Lua. La logica principale di applicazioni Lua è situata in script corrispondenti che sono cifrati e vengono decifrati dall'interprete prima dell'esecuzione. Spesso questo framework di default chiede l'accesso a un gran numero di autorizzazioni di sistema per il funzionamento. Come risultato, gli script Lua eseguiti attraverso di esso sono in grado di effettuare varie azioni malevole in base alle autorizzazioni ricevute.
Tool.SilentInstaller.14.origin
Piattaforma software potenzialmente pericolosa che consente alle applicazioni di avviare i file APK senza la loro installazione. Questa piattaforma crea un ambiente di esecuzione virtuale nel contesto delle applicazioni in cui è incorporata. I file APK avviati tramite di esse possono funzionare come se facessero parte di tali programmi e ricevere automaticamente le stesse autorizzazioni.
Tool.LuckyPatcher.1.origin
Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.
Tool.Packer.1.origin
Utility packer specializzata per la protezione di applicazioni Android dalla modifica e dal reverse engineering. Non è malevola, ma può essere utilizzata per la protezione di programmi sia innocui che trojan.
Adware_Stat_Q1_2025
Adware.ModAd.1
Rilevamento di alcune versioni modificate (mods) dell'app di messaggistica WhatsApp, nelle funzionalità delle quali è incorporato un codice per caricare i link di destinazione tramite web view durante l'utilizzo dell'app. Da questi indirizzi internet viene eseguito il reindirizzamento verso i siti pubblicizzati — ad esempio, casinò online e scommesse, siti per adulti.
Adware.Basement.1
Applicazioni che visualizzano annunci pubblicitari indesiderati che spesso portano a siti malevoli e truffaldini. Hanno una base di codice comune con i programmi indesiderati Program.FakeMoney.11.
Adware.AdPush.3.origin
Adware.Adpush.21846
Moduli adware che possono essere integrati in programmi Android. Visualizzano notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questi moduli raccolgono una serie di dati riservati, nonché sono in grado di scaricare altre app e avviarne l'installazione.
Adware.Fictus.1.origin
Modulo adware che i malintenzionati incorporano in versioni clone di popolari giochi e programmi Android. Viene integrato in programmi tramite un packer specializzato net2share. Le copie di software create in questo modo vengono distribuite attraverso diversi store di app e dopo l'installazione visualizzano pubblicità indesiderate.

Minacce su Google Play

Nel I trimestre 2025, il laboratorio dei virus dell'azienda Doctor Web ha individuato su Google Play diverse decine di applicazioni malevole. Tra di esse sono diverse varianti dei trojan Android.HiddenAds.4213 e Android.HiddenAds.4215, che nascondono la propria presenza sui dispositivi infetti e iniziano a visualizzare pubblicità sopra altri programmi e l'interfaccia del sistema operativo. Erano nascosti in applicazioni per la ripresa di foto e video con effetti vari, di fotoritocco, una raccolta di immagini e un diario di salute della donna.

Android.HiddenAds_Q1_2025
Android.HiddenAds_Q1_2025

Trojan pubblicitari Android.HiddenAds, nascosti in programmi Time Shift Cam e Fusion Collage Editor

Inoltre, i nostri specialisti hanno rilevato i programmi malevoli Android.CoinSteal.202, Android.CoinSteal.203 e Android.CoinSteal.206, che sono progettati per il furto di criptovalute e venivano distribuiti sotto false apparenze di software ufficiali delle piattaforme blockchain Raydium e Aerodrome Finance, nonché dello scambio di criptovalute Dydx.

Android.CoinSteal_Q1_2025
Android.CoinSteal_Q1_2025

Programmi Raydium e Dydx Exchange — trojan per furti di criptovalute

All'avvio le applicazioni malevole invitano le potenziali vittime a inserire una frase mnemonica (seed phrase) presumibilmente per connettere un portafoglio crypto, ma in realtà, i dati inseriti vengono trasmessi ai malintenzionati. Per fuorviare gli utenti completamente, i moduli per l'inserimento delle frasi mnemoniche possono essere mascherati come richieste da parte di altre piattaforme crypto. Come è mostrato nell'esempio sottostante, Android.CoinSteal.206 ha visualizzato un modulo di phishing presumibilmente a nome dello scambio di criptovalute PancakeSwap.

PancakeSwap
PancakeSwap

Oltre a ciò, su Google Play di nuovo venivano distribuiti i programmi falsificazione Android.FakeApp. Molti essi venivano spacciati dai truffatori per applicazioni a tema finanziario, inclusi tutorial, strumenti per l'accesso a servizi di investimento, programmi per la contabilità di finanze personali. Caricavano vari siti di phishing, tra cui quelli utilizzati dai malintenzionati per raccogliere dati personali.

Android.FakeApp_Q1_2025
Android.FakeApp_Q1_2025

Esempi di programmi malevoli Android.FakeApp, distribuiti sotto apparenze di software finanziari: «Умные Деньги» (trad. da russ. "Denaro intelligente") — Android.FakeApp.1803, Economic Union — Android.FakeApp.1777

Altri trojan Android.FakeApp a determinate condizioni caricavano siti di scommesse e casinò online. Tali varianti dei programmi malevoli venivano distribuite sotto finte sembianze di svariati giochi e altri software — ad esempio, attrezzo allenatore per digitazione veloce e tutorial di disegno. Tra di esse c'erano anche nuove varianti del trojan Android.FakeApp.1669.

Android.FakeApp_Q1_2025
Android.FakeApp_Q1_2025

Esempi di programmi malevoli falsificazione che, invece delle funzionalità promesse, potevano caricare siti di casinò online e scommesse

Per proteggere i dispositivi Android dai programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Indicatori di compromissione