27 ottobre 2014

Gli specialisti Doctor Web hanno scoperto un trojan-dialer che infetta dispositivi mobili SO Android e dispone di un'avanzata auto-protezione. I programmi malevoli che effettuano chiamate a costi elevati senza l'autorizzazione da parte dell'utente erano diffusi nell'era della connessione Internet lenta dial-up via modem, in seguito non di rado attaccavano dispositivi mobili. Questi programmi hanno l'obiettivo di stabilire la connessione con un determinato numero telefonico (nella maggior parte dei casi è il numero di qualche servizio a pagamento della categoria "per adulti") per cui sul conto dell'abbonato viene addebitata una certa somma che costituisce il guadagno dei malintenzionati. Attualmente, tali programmi non sono molto comuni però vengono ancora utilizzati dai malintenzionati per ottenere guadagni illeciti.

Il nuovo trojan per Android aggiunto al database Doctor Web sotto il nome dell'Android.Dialer.7.origin è un tipico programma malevolo "dialer" studiato per chiamare a numeri premium all'insaputa dell'utente. Il trojan viene scaricato sul dispositivo camuffato da un'applicazione erotica, e dopo l'installazione mette sulla schermata principale uno shortcut che non ha alcuna dicitura o icona perciò l'utente potrebbe pensare che l'installazione del programma non sia riuscita. In alcuni casi, dopo l'avvio, l'Android.Dialer.7.origin può visualizzare un avviso di errore di accesso a servizio richiesto, dopodiché nasconde completamente i segni della propria presenza nel sistema compromesso, rimuovendo lo shortcut creato in precedenza, e in seguito funziona come un servizio di sistema. Oltre all'esecuzione manuale tramite lo shortcut, il trojan avvia questo servizio automaticamente, per esempio dopo l'accensione del dispositivo mobile, quindi non richiede l'intervento dell'utente per iniziare l'attività nociva.

Il servizio avviato dall'Android.Dialer.7.origin chiama a determinate cadenze al numero 803402470 salvato nelle impostazioni del programma malevolo. Comunque, se necessario, i criminali informatici possono cambiare il numero target, impartendo al malware un comando dal server di controllo – questo aumenta la flessibilità delle funzioni dell'Android.Dialer.7.origin e permette agli autori di ricavare profitti da più servizi a pagamento alla volta.

Per ridurre l'eventualità del suo rilevamento da parte dell'utente, il trojan disattiva l'altoparlante di conversazione del dispositivo mobile per il tempo della chiamata al numero impostato, e per nascondere completamente l'attività nociva cancella tutte le informazioni relative dal log di sistema e dall'elenco delle chiamate.

La caratteristica principale del dialer è la sua capacità di ostacolare i tentativi di rimozione da parte dell'utente del dispositivo compromesso. Quando l'utente apre la sezione di configurazione responsabile della gestione delle applicazioni, il trojan Android.Dialer.7.origin blocca l'operazione e visualizza la schermata principale del sistema operativo. Pertanto, la rimozione manuale del trojan è in sostanza impossibile.

I prodotti antivirus Doctor Web rilevano e rimuovono questo trojan con successo dai dispositivi mobili, perciò gli utenti dell'Antivirus Dr.Web per Android e dell'Antivirus Dr.Web per Android Light sono protetti in modo sicuro contro questa minaccia informatica. Se si verificano problemi durante la rimozione dell'Android.Dialer.7.origin, utilizzate la funzione del sblocco di emergenza del dispositivo mobile, incorporata nell'antivirus, dopodiché ripetete la procedura di scansione e di trattamento.