17 aprile 2014

Doctor Web ha scoperto una serie di sms di spam inviati agli utenti in Corea del Sud. Gli sms malevoli contengono un link al download del trojan per Android Android.SmsBot.75.origin, studiato per il furto di informazioni confidenziali e per l'invio di sms senza l'autorizzazione da parte dell'utente. Nell'arco di alcuni giorni i malintenzionati hanno effettuato circa quaranta mailing e il numero di utenti colpiti potrebbe essere alcune decine di migliaia.

Gli sms malevoli esaminati dagli esperti Doctor Web contengono le informazioni su una spedizione postale non consegnata e affermano che lo stato di consegna si può scoprire utilizzano il link breve incluso. Se l'utente passa all'indirizzo di rete indicato, giunge sulla pagina di un blog fraudolento ospitato sulla piattaforma Blogger di Google e allestito in modo da creare una falsa impressione che questo sia il sito di qualche operatore postale. Se l'utente cerca di leggere le informazioni proposte, sul suo dispositivo mobile si scarica il trojan Android.SmsBot.75.origin memorizzato sul cloud storage Dropbox su cui i pirati informatici hanno un account utilizzato per questi scopi.

Quindi, anche questa volta i malintenzionati hanno utilizzato il solito metodo per cercare di infettare i dispositivi delle vittime, cioè mediante il link al download di file dannosi. Però in questo caso il numero di dispositivi compromessi poteva essere veramente grande: abbiamo registrato quasi quaranta mailing, cinque varianti del blog fraudolento e tre varianti del trojan Android.SmsBot.75.origin.

Nelle informazioni statistiche disponibili su uno dei blog, possiamo vedere che nell'arco di alcuni giorni questa pagina è stata visitata da oltre trentamila utenti. Visto che ci sono più blog, il numero totale di vittime potrebbe essere superiore a questa cifra.

Per non suscitare il sospetto dell'utente, dopo l'avvio il trojan Android.SmsBot.75.origin si connette al sito di un operatore postale che esiste realmente e carica il sito nella modalità WebView, cioè lo visualizza come un'applicazione web. Nello stesso tempo l'icona del trojan viene rimossa dalla schermata principale del dispositivo e inoltre viene attivato il servizio malevolo MainService che svolge tutte le azioni dannose del trojan senza farsi notare. In particolare, il trojan carica la rubrica del cellulare su un server remoto e quindi attende da esso comandi in cui sono indicati i parametri necessari per l'invio di sms: numero del destinatario e il testo del messaggio. Inoltre, il malware crea una lista dei numeri telefonici e in seguito nasconde dall'utente le chiamate e gli sms che arrivano da questi numeri. In questo modo Android.SmsBot.75.origin può essere utilizzato non soltanto come un programma-spia o un trojan ideato per l'invio di sms, ma anche come uno strumento per il furto del denaro tramite sistemi di mobile banking.

Il trojan Android.SmsBot.75.origin è stato diffuso dai malintenzionati anche in precedenza, per esempio, negli sms che si spacciano per notifiche della polizia. Dunque è probabile che ci saranno nuovi tentativi di diffusione di questo trojan.

Il software antivirus Dr.Web per Android può rilevare tutte le varianti di questo trojan quindi i dispositivi dei nostri utenti sono protetti da questa minaccia.