29 dicembre 2014

Il dicembre 2014, come i mesi precedenti, è stato un periodo difficile per i proprietari dei dispositivi mobili SO Android: in effetti, i creatori di applicazioni malevole hanno preparato per gli utenti una serie di "sorprese prenatalizie". Durante tutto il mese, il database dei virus Dr.Web veniva riempito da nuovi record di vari programmi malevoli, tra cui i successivi trojan bancari e i trojan inseriti dai malintenzionati direttamente nell'immagine del sistema operativo di una serie di dispositivi Android.

Sebbene non sia un metodo nuovo quello dell'inserimento dei trojan dentro diversi firmware SO Android, i criminali informatici ancora non lo adoperano molto spesso. Ciononostante, di volta in volta, gli specialisti della sicurezza informatica rilevano un successivo trojan Android inserito in un'immagine del sistema operativo distribuita sul web oppure preinstallata su uno od altro dispositivo mobile. A dicembre si sono rilevati diversi casi di questo genere, e i programmi malevoli rilevati in tali immagini, come in altri casi simili, sono progettati per l'esecuzione nascosta di varie azioni volute dai malintenzionati. Per esempio, il trojan, aggiunto al database dei virus Dr.Web sotto il nome dell'Android.Backdoor.126.origin, su comando del server di gestione, può mettere tra gli sms in arrivo sul dispositivo compromesso vari falsi messaggi con il testo impostato dai malintenzionati e in questo modo consente loro di implementare una varietà di schemi fraudolenti. Un altro trojan, "nascosto" dentro il sistema operativo Android installato su alcuni dispositivi mobili, fornisce ai suoi creatori ancora più grandi possibilità di attività illegale. In particolare, questo programma malevolo, denominato Android.Backdoor.130.origin secondo la classificazione utilizzata da Doctor Web, può inviare messaggi sms, effettuare chiamate, visualizzare pubblicità, scaricare, installare ed eseguire applicazioni senza la conoscenza o il consenso dell'utente, nonché trasferire sul server di controllo varie informazioni riservate, tra cui la cronologia di chiamate, la corrispondenza sms e le informazioni sulla posizione attuale del dispositivo mobile. Inoltre, Android.Backdoor.130.origin può eliminare applicazioni già installate sul dispositivo ed eseguire alcune altre azioni indesiderate. Poiché questo trojan è de fatto un'applicazione di sistema, tutte le sue attività dannose vengono realizzate senza la partecipazione dell'utente, dunque il malware Android.Backdoor.130.origin è un serio rischio per i proprietari dei dispositivi compromessi.

Un altro programma malevolo Android degno di nota tra quelli scoperti a dicembre, è l'Android.SmsBot.213.origin che su comando dei criminali informatici può eseguire azioni indesiderate sui dispositivi infetti. In particolare, l'app malevola può intercettare ed inviare messaggi sms e mandare sul server remoto le informazioni riservate degli utenti. Il rischio principale è che le funzioni dannose del trojan consentono agli hacker di ottenere l'accesso alla gestione dei conti bancari di quegli utenti che utilizzano il servizio di mobile banking. Così, inviando ed intercettando messaggi sms necessari per l'utilizzo del sistema di banking, il trojan Android.SmsBot.213.origin, inosservato dalle sue vittime, può rimettere tutti i loro soldi sul conto dei malintenzionati. Una caratteristica di questo malware è che i creatori lo distribuiscono come se fosse un popolare gioco, il quale, in fin dei conti, viene anche installato sul dispositivo attaccato. Ovvero, dopo l'installazione e l'avvio da parte dell'utente, Android.SmsBot.213.origin esegue l'installazione di un file nascosto dentro di sé, che è il file originario del gioco, quindi elimina la propria icona e procede funzionando come un servizio di sistema. Quest'approccio consente agli hacker di ridurre il rischio di eliminazione del trojan da parte dell'utente (se non avrebbe ottenuto il gioco che desiderava) e di aumentare le chance di raggiungere gli obiettivi prefissati.

Inoltre, a dicembre sono stati di nuovo attivi i criminali informatici che eseguono attacchi ad utenti sudcoreani di dispositivi Android. Il loro metodo è inviare programmi malevoli Android in messaggi sms indesiderati racchiudenti un link al download del malware. Nel mese passato, gli specialisti Doctor Web hanno registrato circa 160 casi dell'invio in massa di tali sms, e i trojan utilizzati più spesso per gli attacchi sono stati i seguenti: Android.MulDrop.48.origin (40,25%), Android.MulDrop.46.origin (28,93%), Android.MulDrop.49.origin (27,67%), nonché Android.Spy.86.origin (1,89%).