24 marzo 2014

I modi di guadagno più comuni che i malintenzionati utilizzano sul mercato cinese Android sono l'inserimento di funzioni estranee e di moduli di pubblicità in applicazioni popolari, l'installazione di applicazioni contro la volontà dell'utente e l’aumento esponenziale del traffico sui siti che offrono applicazioni. Spesso per questi fini, i malintenzionati utilizzano diversi programmi – downloader, di cui Dr Web ne ha scoperto un gruppo di recente.

Tra i malware trovati possiamo segnalare l'Android.DownLoader.49.origin che è un'applicazione per Android standard. Si installa come un servizio di sistema e dopo l'avvio si connette al server remoto dei malintenzionati per ricevere una lista degli oggetti da scaricare. Tra questi oggetti vi è una serie di archivi con dentro i file "dex" che si salvano sulla scheda di memoria del dispositivo nella cartella /cache/sysjar/ e quindi si caricano nella memoria operativa tramite il metodo DexClassLoader. Uno di questi file eseguibili è un downloader inserito nei database Dr.Web sotto il nome dell'Android.DownLoader.43.origin. È in grado di scaricare diverse applicazioni, comprese quelle malevoli. Un altro eseguibile è un programma - dropper che, a seconda della versione e della disponibilità dei permessi di root, può installare altre applicazioni malevoli nella cartella di sistema.

Oltre agli archivi, l'Android.DownLoader.49.origin può scaricare varie applicazioni che vengono installate senza che l'utente le accetti. Se i permessi di root non sono disponibili, il malware visualizza una richiesta di sistema standard che chiede di accettare l'installazione di un programma scaricato.

A sua volta, l'Android.DownLoader.43.origin può connettersi, in un modo simile, al server remoto da cui riceve una lista delle applicazioni da scaricare e da installare sul dispositivo mobile compromesso. In questa lista sono presenti altri trojan che eseguono il download e hanno funzioni simili, cioè gli autori dei virus hanno creato una catena composta dai programmi malevoli che si propagano a vicenda e inoltre installano applicazioni senza autorizzazione da parte dell'utente del dispositivo. In totale, gli specialisti di Doctor Web hanno scoperto oltre dieci tali trojan–downloader del genere, e inoltre il server dei malintenzionati contiene quasi seicento applicazioni destinate all'installazione non autorizzata sui dispositivi compromessi.

Il motivo più probabile di questo schema è la diffusione di determinate applicazioni per pubblicizzarle. Installandole sui dispositivi di nascosto, i malintenzionati possono ottenere proventi illeciti. Oltre alle applicazioni utili, i creatori della rete dannosa potrebbero diffondere le applicazioni dannose, per esempio, trojan che inviano sms dal cellulare infettato e trojan-spia. Anche queste attività portano guadagni ai pirati informatici.

Tutti questi programmi malevoli possono essere rilevati tramite l'antivirus Dr.Web per Android quindi i dispositivi dei nostri utenti sono protetti in modo sicuro.