5 novembre 2014

Ad ottobre gli svariati attacchi ai dispositivi mobili Android hanno mostrato chiaramente che il malware rimane un problema serio per gli utenti. Durante tutto il mese gli specialisti Doctor Web hanno osservato la comparsa di vari programmi malevoli, tra cui ransomware, trojan bancari ed altri generi, che permettono ai malintenzionati di guadagnare a scapito delle vittime che non sospettano nulla.

Una delle minacce per Android scoperte ad ottobre è il trojan Android.Selfmite.1.originche i malintenzionati facevano circolare dentro un client del social network Google+ manipolato per i fini di guadagno illecito. Il programma malevolo dispone di diversi strumenti di monetizzazione. Primo, dopo essere stato installato su uno smartphone o su un tablet Android, il programma malevolo mette sulla schermata principale del sistema operativo alcuni shortcut che conducono, a seconda della posizione geografica dell’utente, su vari siti web pubblicizzati da partner program e da sistemi pubblicitari. Come risultato, ogni clic su questi shortcut genera entrate per gli autori dell’Android.Selfmite.1.origin. Secondo, il trojan può “pubblicizzare” applicazioni pubblicate su Google Play mostrando sullo schermo del dispositivo mobile le sezioni corrispondenti del catalogo. Terzo, il programma malevolo può mandare sms in automatico che, a seconda delle impostazioni ricevute dal server di controllo, possono includere un link a determinati siti web o al download di altri programmi malevoli e della copia stessa del trojan. L’Android.Selfmite.1.origin può provocare danni perché esso manda sms a tutti i numeri indicati nella rubrica del telefono e la quantità di messaggi non viene limitata in nessun modo, quindi le vittime possono subire notevoli perdite finanziarie e inoltre aiutano involontariamente i malintenzionati a diffondere il trojan.

Un altro programma malevolo per Android scoperto ad ottobre, progettato per guadagni dei malintenzionati, è stato classificato da Doctor Web come Android.Dialer.7.origin. Il trojan appartiene alla classe dei programmi dialer che procurano redditi ai criminali informatici tramite chiamate a numeri premium. Una volta avviato sul dispositivo mobile infetto, l’ Android.Dialer.7.origin chiama ad un numero specificato nelle sue impostazioni, però può chiamare anche ad altri numeri se riceve l’opportuno comando dei malintenzionati. Il trojan dispone di una serie di caratteristiche che gli permettono di proseguire la sua attività nociva quanto più a lungo possibile. In particolare, lo shortcut del dialer non ha alcuna dicitura o icona e viene cancellato dopo l’avvio del programma malevolo, così l’ Android.Dialer.7.origin diventa “invisibile” all’utente. Inoltre, il trojan cancella dai log di sistema e dall’elenco delle chiamate le informazioni su tutte le chiamate che fa. Inoltre, il programma malevolo può ostacolare i tentativi di rimozione da parte dell’utente impedendo l’apertura della sezione di sistema di gestione delle applicazioni, dunque concludiamo che l’ Android.Dialer.7.origin è una seria minaccia informatica. Per maggiori informazioni, leggete la notizia sul sito Doctor Web.

È stata scoperta un’altra minaccia per Android, Android.Locker, un altro programma ransomware studiato per procurare redditi ai criminali informatici. Il programma malevolo, inserito nel database dei virus Dr.Web sotto il nome dell’ Android.Locker.54.origin, applica il metodo provato: blocca lo schermo del dispositivo infetto e richiede all’utente di pagare per lo sblocco. È diverso dagli altri programmi ransomware in quanto è in grado di inviare sms a tutti i contatti salvati nella rubrica del telefono, in cui racchiude un link al download della sua copia. Come risultato, gli utenti non soltanto diventano vittime del ricatto, ma anche facilitano involontariamente la diffusione del malware, aumentando le chance dei malintenzionati di ottenere profitti illeciti.

Anche i malintenzionati che attaccano gli utenti nella Corea del Sud sono stati attivi ad ottobre. Gli specialisti Doctor Web hanno registrato oltre 170 campagne di spamming sms tramite cui i malintenzionati distribuiscono programmi malevoli per Android. I programmi che più spesso sono inclusi negli sms indesiderati sono i seguenti: Android.BankBot.27.origin, Android.MulDrop.36.origin, Android.SmsSpy.78.origin, Android.Spy.40.origin, Android.MulDrop.21.origin 3 Android.BankBot.29.origin.

Tra i programmi malevoli che i malintenzionati fanno circolare nella Corea del Sud c’è un nuovo trojan bancario, nominato l’ Android.BankBot.29.origin. Questo programma malevolo per Android, progettato per il furto delle informazioni di autenticazione dei clienti di 17 banche, ottiene le informazioni con l’inganno, imitando il funzionamento del vero programma bancario. Come le altre minacce simili, l’Android.BankBot.29.origin cerca di ottenere i permessi di root sul dispositivo mobile per ostacolare la propria rimozione e per questo fine utilizza un metodo insolito. Il trojan “nasconde” dall’utente la relativa richiesta di sistema sotto la propria finestra di dialogo, e come risultato con l’alta probabilità l’utente conseguirà al programma malevolo i permessi richiesti.

Gli specialisti Doctor Web proseguono il monitoraggio delle nuove minacce per Android ed inseriscono prontamente le relative informazioni nel database dei virus in modo da procurare la protezione sicura agli utenti dell’Antivirus Dr.Web per Android e dell’Antivirus Dr.Web per Android Light.

Scopri di più con Dr.Web

Statistiche di virus Biblioteca delle descrizioni Tutti i resoconti sui virus Laboratorio live