29 aprile 2014

I messaggi o siti fraudolenti spesso sfruttano l'interesse degli utenti per i prodotti o i servizi noti. Questi trucchi permettono ai malintenzionati di rubare le informazioni confidenziali degli utenti, di promuovere servizi inattendibili e di diffondere programmi malevoli. Gli sms fraudolenti scoperti di recente da Doctor Web imitano le notifiche del popolare sito Avito.ru e hanno l'obiettivo di diffondere un trojan per Android.

L'sms di spam ricevuto dall'utente, che sarebbe una notifica del popolare servizio online di annunci gratuiti Avito.ru, informa dell'aggiunta di una risposta a un annuncio pubblicato in precedenza e include un link alla visualizzazione della risposta. Pertanto, questo trucco è rivolto a chi veramente utilizza questa bacheca di annunci e aspetta una risposta a qualche annuncio pubblicato. Se l'utente apre il link incluso nell'sms, giunge su una pagina web fraudolenta da cui il trojan Android.SmsSpy.88.origin, un bot di invio di sms, viene scaricato in automatico sul dispositivo.

Dopo l'installazione e l'avvio, l'Android.SmsSpy.88.origin richiede all'utente l'accesso alle funzioni di amministratore del dispositivo mobile (è un metodo comune di auto-protezione dei programmi malevoli per Android), dopodiché rimuove la sua icona dalla schermata principale del sistema operativo. In seguito il trojan trasmette ai malintenzionati via sms alcuni dati generali del dispositivo mobile infetto: nome del dispositivo e quello del produttore, IMEI, nome dell'operatore, versione dell'SO in uso. Il malware si connette al server remoto e attende istruzioni, tra cui ci sono i seguenti comandi: avvio o termine del servizio che intercetta sms in arrivo, invio di sms con un determinato testo a un numero indicato, il comando di effettuare chiamate e quello di inviare sms a tutti i contatti elencati nella rubrica.

Inoltre, i malintenzionati possono gestire il trojan tramite messaggi sms. L'Android.SmsSpy.88.origin può accettare i seguenti comandi nel formato degli sms: inviare sms con parametri determinati e attivare o disattivare il trasferimento incondizionato di tutte le chiamate in arrivo.

Dunque, accanto alle solite funzioni di invio di sms, i malintenzionati hanno a disposizione la possibilità di trasferire le chiamate all'insaputa dell'utente a un numero telefonico specificato e in questo modo possono controllare tutte le chiamate in arrivo. Gli hacker possono accedere a diverse informazioni confidenziali dell'utente e in alcuni casi possono effettuare alcune azioni fraudolente.

Gli esperti di Doctor Web conoscono anche altre versioni del trojan (per esempio l'Android.SmsSpy.15, l'Android.SmsSpy.17 e l'Android.SmsSpy.21) il cui codice di programma è stato offuscato per impedire il rilevamento e l'analisi dei trojan da parte dei programmi antivirus. A partire dal momento in cui queste minacce sono state inserite nei database dei virus Dr.Web per Android, sono state rilevate su oltre duemilatrecento dispositivi mobili, una notevole diffusione nell'arco di un mese.

Va detto che in alcune versioni se l'utente dà al trojan i privilegi di amministratore, dal menu di sistema scompare la funzione di rimozione del programma. In tale caso per disinstallare i trojan, è necessario revocare i privilegi di amministratore concessi al programma malevolo o utilizzare un antivirus capace di combattere le minacce di questo genere.

Doctor Web raccomanda di stare attenti se si ricevono messaggi non attendibili per evitare diversi trucchi dei malintenzionati.