Il 9 aprile 2012

La società “Doctor Web” — lo sviluppatore russo del software antivirale — avverte gli utenti della piattaforma mobile Android che si sta propagando la nuova modifica di Android.Gongfu. I malintenzionati incorporano questo troiano in diversi programmi e giochi che si diffondono tramite siti non ufficiali di raccolta del software. Il nuovo Android.Gongfu non solo può trasmettere ai malintenzionati le informazioni sul dispositivo infettato ed eseguire comandi pervenuti dal server di controllo, ma anche scaricare e installate altri applicativi all’insaputa dell’utente.

I malware della famiglia Android.Gongfu si distinguono per la loro capacità di installare sul dispositivo mobile infettato un altro applicativo che viene inserito nel sistema infettato come un servizio di background. Il servizio installato dal cavallo di troia si avvia automaticamente senza intervento dell’utente e raccoglie i dati sul dispositivo, compresa la versione del sistema operativo, il modello di telefonino, il nome dell’operatore di telefonia mobile, il numero IMEI e il numero telefonico dell’utente. In seguito queste informazioni vanno trasmesse ai malintenzionati. Inoltre, Android.Gongfu è in grado di funzionare come un backdoor che riceve comandi dai malintenzionati e li esegue.

Nelle ultime settimane la versione aggiornata del troiano Android.Gongfu è stata scoperta in più applicativi che si diffondono tramite siti non ufficiali di raccolta del software. Per esempio, questo malware è stato rilevato nella distribuzione, modificata dai malintenzionati, del gioco popolare Angry Birds Space.

A differenza delle prime versioni di Android.Gongfu, le nuove modifiche del troiano non sfruttano la vulnerabilità Android che consentiva al malware di aumentare, senza intervento dell’utente, i suoi privilegi di sistema fino al livello root. Il malware invece propone all’utente un’istruzione dettagliata come avviare il sistema operativo con i poteri di amministratore. Nell’istruzione si afferma che questo sia necessario per una corretta operatività dell’applicativo (infettato) o per il suo aggiornamento. Una volta avviato con i poteri di amministratore, Android.Gongfu ha la possibilità di incorporarsi nei processi di sistema Android, compresi i processi critici per un funzionamento stabile del sistema operativo. Il cavallo di troia non solo può trasmettere ai malintenzionati le informazioni sul dispositivo infettato ed eseguire ordini pervenuti dal server di comando remoto, ma può anche scaricare e installate altri applicativi all’insaputa dell’utente.

Tutte le versioni di Android.Gongfu conosciuti per il momento vengono rilevati con successo da Dr.Web per Android Antivirus + Antispam e da Dr.Web 7.0 per Android Light con l’impiego della tecnologia Origins Tracing™. Grazie a questa tecnologia, per ogni programma malevolo è creato un algoritmo del suo comportamento che viene aggiunto alla base di dati di virus. Una tale registrazione è sufficiente per individuare una famiglia intera di malware, e per questo nuove versioni di tale famiglia possono essere rilevate molto presto. Inoltre questa tecnologia consente di ridurre il volume delle basi di dati di virus. La tecnologia Origins Tracing™ è stata sviluppata dalla società “Doctor Web” e non ha pari fra te tecnologie antivirus di oggi.

Per prevenire l’infiltrazione dei malware sul dispositivo, la società “Doctor Web” consiglia agli utenti di scaricare e installare applicativi solo dal sito ufficiale Google Play (play.google.com). Si raccomanda di non avviare sul dispositivo alcuni programmi che richiedono poteri di amministratore per il loro funzionamento.