5 agosto 2014

Nonostante il caldo, i criminali informatici che attaccano dispositivi mobili Android non pensano di andare in vacanza. Come prima, i malintenzionati cercano le possibilità di guadagno illecito utilizzando a questo scopo, accanto ai trojan che inviano sms dai dispositivi compromessi, i programmi che possono rubare o estorcere denaro. A luglio gli specialisti Doctor Web hanno scoperto alcuni nuovi programmi di questo genere. La tendenza è in aumento e questi programmi compaiono in diversi paesi.

Uno dei modi per guadagnare utilizzato dai criminali informatici, che diventa sempre più popolare, è il furto delle informazioni bancarie e l'ottenimento dell'accesso non autorizzato ai conti correnti degli utenti dei dispositivi mobili Android con l'ausilio dei programmi malevoli. Le minacce informatiche di questo tipo sono comparse alcuni anni fa e si sono ampiamente diffuse di recente. I malintenzionati eseguono attacchi tramite trojan bancari in molti paesi del mondo, però Corea del Sud è uno dei loro bersagli principali. Nei mesi passati, gli specialisti Doctor Web hanno registrato in questo paese un notevole aumento del numero di trojan bancari per Android. Così a luglio, sono state scoperte diverse nuove versioni di queste applicazioni pericolose, tra cui si distingue particolarmente l'Android.Banker.28.origin.

Questo trojan, distribuito dai malintenzionati sotto forma dell'applicazione Google Play, adopera i metodi del social engineering per ricavare le informazioni segrete bancarie (certificati NPKI, nome dell'account di mobile banking, numero di telefono, numero della carta di credito, password relative ecc.). Il programma si attiva solo se un reale client bancario è in esecuzione sul dispositivo mobile infetto. Imita l'aspetto dell'applicazione originale per indurre l'utente a inserire tutte le informazioni necessarie. Le informazioni raccolte dal programma vengono trasmesse ai criminali che in seguito possono utilizzarle per accedere ai conti bancari delle vittime e per effettuare transazioni finanziarie illegali.

La parte dominante delle minacce per Android scoperte nella Corea del Sud viene distribuita negli sms indesiderati che includono un link al download delle applicazioni malevole. Anche il trojan Android.Banker.28.origin viene distribuito con questo modo: ad esso corrisponde il 22,22% del totale sms indesiderati registrati a luglio dagli specialisti Doctor Web. In totale, sono stati scoperti 126 casi di invio massivo di sms malevoli. I programmi, i link ai quali vengono inclusi più spesso negli sms, sono rappresentati nella seguente immagine:

A luglio, i malintenzionati hanno preso di mira anche gli utenti russi di Android e hanno cercato di ottenere le informazioni delle loro carte bancarie mediante il trojan spyware Android.BankBot.21.origin distribuito sotto forma di Adobe Flash Player. Il programma malevolo visualizza una finta copia del modulo standard Google Play in cui l'utente può associare i dati della sua carta al servizio di acquisto. Il malware aspetta l'inserimento delle informazioni confidenziali da parte dell'utente e le invia ai malintenzionati insieme a tutti gli sms in arrivo e ad alcuni altri dati. Su comando dei criminali, il trojan può eseguire alcune azioni, per esempio, può inviare sms dal telefonino compromesso.

I trojan ransomware per Android sono comparsi a maggio dell'anno corrente. Questi programmi bloccano i dispositivi mobili infettati e cifrano file, dopo di che i malintenzionati richiedono di essere pagati per la possibilità di ripristinare l'operatività del dispositivo e per il recupero dati. In questo modo i trojan procurano agli hacker una nuova fonte di reddito illegale. Non è sorprendente che il numero di tali programmi sia aumentato rapidamente: così a maggio il database dei virus Doctor Web aveva soltanto due record di questo tipo, mentre alla fine di luglio ce n'erano già 54, cioè in due mesi la quantità è aumentata di 27 volte, o del 2600%.

Tra i trojan ransomware scoperti a luglio, possiamo segnalare l'Android.Locker.19.origin mirato a dispositivi Android degli utenti statunitensi. Dopo l'avvio, il trojan blocca il dispositivo mobile e visualizza un messaggio di "riscatto", e inoltre non lascia che l'utente esegua alcuna azione con l'interfaccia del sistema operativo. L'Android.Locker.19.origin non soltanto può bloccare lo smartphone, ma anche può codificare file di vari tipi, però queste funzioni non sono state attivate. Probabilmente, i malintenzionati programmano di utilizzarle in seguito nelle successive versioni del trojan.

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live