1 settembre 2014

Nell'ultimo mese estivo non sono state scoperte nuove minacce per Android, però i malintenzionati hanno eseguito una serie di attacchi utilizzando diverse applicazioni malevole, cercando di ricavare le informazioni confidenziali degli utenti e di guadagnare in modo illecito.

All'inizio di agosto, gli specialisti della sicurezza informatica hanno rilevato un successivo attacco mirato agli utenti cinesi di dispositivi mobili Android, il quale ha avuto l'obiettivo di ricavare informazioni confidenziali e di mandare in massa sms indesiderati. Per questi fini, i malintenzionati hanno cominciato a distribuire il trojan Android.SmsSend.1404.origin che può eseguire molteplici funzioni dannose. In particolare, dopo l'avvio il trojan controlla se un altro programma malevolo (Android.SmsBot.146.origin secondo la classificazione Doctor Web) sia installato sul dispositivo mobile, e se non è disponibile, propone di installarlo sotto forma di un add-on software importante.

In seguito, l'Android.SmsSend.1404.origin propone all'utente di digitare in un apposito modulo alcune informazioni confidenziali che quindi trasferisce ai malintenzionati. Inoltre, all'insaputa del proprietario del telefono, il trojan spedisce sms con il link al download della sua copia a tutti i contatti della rubrica e in questo modo svolge le funzioni di un worm di sms e si propaga ulteriormente.

Il componente installato dal programma malevolo appartiene alla categoria numerosa dei bot capaci di eseguire comandi dei malintenzionati sul dispositivo. In particolare, questo bot può inviare vari sms ed intercettare tutti gli sms in arrivo sul dispositivo.

Inoltre ad agosto, sono stati rilevati nuovi casi di comparsa degli Android.Locker, cioè dei programmi che bloccano l'utilizzo di dispositivi compromessi, tra cui il programma più degno di nota è l'Android.Locker.27.origin analizzato da Doctor Web in un articolo. Il programma malevolo viene distribuito dagli hacker sotto forma di un'applicazione antivirus. Come gli altri programmi di questo genere, questo trojan-locker blocca il dispositivo Android compromesso e richiede soldi per la possibilità di sbloccarlo. Tuttavia, a causa delle caratteristiche implementate nel controllo pagamento del trojan, le vittime possono liberarsi da questo programma malevolo in un modo facile e gratuito. L'Android.Locker.27.origin si accerta semplicemente se il codice di pagamento inserito dall'utente sia composto da quattordici cifre e non includa determinate combinazioni di cifre prevedibili. Se queste condizioni sono soddisfatte, il trojan sblocca il dispositivo mobile e si rimuove.

Ad agosto, sono stati osservati nuovi casi di propagazione del malware per Android nella Corea del Sud. Come in precedenza, i criminali informatici utilizzano l'invio massivo di sms indesiderati come il modo principale per distribuire questi programmi malevoli. Durante il mese, Doctor Web ha osservato oltre cento tali "campagne di sms" attraverso cui i malintenzionati hanno cercato di distribuire i seguenti programmi malevoli: Android.Banker.28.origin (26,21%), Android.SmsBot.121.origin (23,30%), Android.SmsSpy.78.origin (15,54%) e Android.MulDrop.14.origin (9,71%).

In aggiunta allo spamming sms, i malintenzionati adoperano anche altri metodi di distribuzione di programmi malevoli per Android. Ad esempio ad agosto, sono state scoperte delle email malevole con il link al download del pericoloso trojan Android.Backdoor.96.origin. È un backdoor camuffato da un programma antivirus e capace di eseguire sul dispositivo compromesso varie azioni su comando degli hacker.

In particolare, questo trojan può rubare informazioni confidenziali, quali sms, rubrica, cronologia del browser, può localizzare il dispositivo infetto sulla base delle coordinate GPS, può accendere il microfono incorporato per ascolto ambiente, eseguire query USSD, visualizzare diverse notifiche sullo schermo, nonché può registrare le chiamate in file audio che, insieme agli altri dati, carica sul server dei malintenzionati.

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live