21 aprile 2015

Gli specialisti Doctor Web hanno scoperto un pericoloso trojan Android che cerca di ottenere i privilegi di root per scaricare, installare e rimuovere applicazioni sul dispositivo su comando dei malintenzionati. Inoltre, questo programma malevolo raccoglie informazioni dettagliate su dispositivi mobili infetti e le trasmette agli autori di virus, nonché visualizza pubblicità indesiderata.

Il nuovo programma malevolo, denominato l'Android.Toorch.1.origin secondo la classificazione Dr.Web, si nasconde in un'applicazione apparentemente innocua, che fornisce le funzioni di una torcia elettrica, e può essere trovata su siti web popolari — raccolte di software, oppure viene scaricata sui dispositivi mobili da vari moduli di pubblicità aggressiva, inclusi in alcune applicazioni. Affinché il trojan Android.Toorch.1.origin possa infettare uno smartphone o un tablet Android, l'utente stesso deve eseguire l'installazione del programma, tuttavia il suo mascheramento da un'app legittima aumenta notevolmente la probabilità della sua installazione da parte delle potenziali vittime. Va notato che l'Android.Toorch.1.origin esegue tutte le funzioni di un'app di torcia, quindi gli utenti non dovrebbero accorgersi che ci sia qualcosa di sbagliato sul dispositivo.

Dopo l'avvio, il trojan si connette al server di controllo e carica su di esso le seguenti informazioni circa il dispositivo infetto:

• ora attuale;
• posizione attuale;
• identificatore IMEI;
• identificatore unico del dispositivo, generato dal trojan;
• versione del trojan;
• disponibilità dell'accesso di root;
• disponibilità di una connessione Wi-Fi attiva;
• versione del SO;
• lingua di sistema utilizzata al momento;
• produttore e modello di dispositivo;
• nome del pacchetto del trojan;
• tipo di connessione di rete.

Allo stesso tempo, l'Android.Toorch.1.origin cerca di aumentare i suoi privilegi di sistema fino al livello di root, per cui utilizza il pacchetto di hacker, alterato dai malfattori, com.apkol.root. Se il programma malevolo ha ottenuto i privilegi di root, installa nella cartella di sistema /system/app l'applicazione NetworkProvider.apk (inoltre viene rilevata come l'Android.Toorch.1.origin), che è conservata nel pacchetto di programma del trojan, e avvia il rispettivo servizio di sistema. Alcune versioni di NetworkProvider.apk possono includere il modulo addizionale GDataAdapter che anche viene installato nella cartella di sistema e serve a sostenere il funzionamento continuo di NetworkProvider.apk, riavviando l'app se è terminata.

Il programma NetworkProvider.apk include un altro componente del trojan Android.Toorch.1.origin, inserito nel database dei virus come l'Android.Toorch.2.origin. Si carica nella memoria operativa mediante la classe DexClassLoader e dopo l'avvio nel sistema infetto riceve dal server di comando un file di configurazione e svolge le successive attività dannose in conformità a questo file. In particolare, può informare gli hacker del suo avvio, eseguire il proprio aggiornamento, caricare su nodo remoto le informazioni dettagliate su dispositivo infetto, incluse le coordinate GPS, e inoltre può trasmettere le informazioni su applicazioni installate. Su comando arrivato da server remoto, questo modulo può scaricare, installare e rimuovere di nascosto le applicazioni stabilite dai malfattori, queste azioni vengono eseguite senza la partecipazione dell'utente dato che il trojan dispone delle privilegi di root; quest'è la sua funzione principale.

L'Android.Toorch.1.origin include una piattaforma di pubblicità incorporata, denominata da Dr.Web l'Adware.Avazu.1.origin, progettata per la visualizzazione di pubblicità sullo schermo del dispositivo infetto ogni volta quando l'utente installa un'applicazione. Inoltre, alcune varianti del trojan installano questa piattaforma di pubblicità come un'app separata insieme all'app malevola GoogleSettings.apk – quest'ultima è completamente analoga alla sopraccitata NetworkProvider.apk.

Un serio rischio è che l'Android.Toorch.1.origin e i suoi moduli si installano nella cartella di sistema che non viene scansionata dai prodotti antivirus Dr.Web per Android se l'utente seleziona la scansione rapida. Pertanto, anche se l'applicazione-torcia originale viene rimossa, i suoi moduli rimangono nel sistema e continuano a svolgere di nascosto le loro attività malevole, quindi se si scopre il trojan Android.Toorch.1.origin sul dispositivo, è consigliabile eseguire una scansione completa tramite l'antivirus.

Gli specialisti Doctor Web hanno prodotto un'apposita utility per aiutare gli utenti vittime del trojan Android.Toorch.1.origin a rimuovere tutti i suoi componenti ausiliari dai dispositivi mobili. Per curare gli smartphone e i tablet infetti, è necessario scaricare l'utility, installarla ed eseguirla, dopodiché seguire le istruzioni visualizzate sullo schermo. Notarsi che dopo la rimozione del trojan dal sistema, i privilegi di root diventano non disponibili, perciò se il dispositivo Android inizialmente supportava questi privilegi, è necessario riottenerli.