24 luglio 2015

Benché Google Play sia la raccolta di applicazioni ufficiale per il sistema operativo mobile Google Android, su questo sito di volta in volta compaiono programmi potenzialmente rischiosi e persino malevoli. Uno di essi, denominato l'Android.DownLoader.171.origin, è stato scoperto recentemente dagli analisti dei virus Doctor Web.

Il programma malevolo Android.DownLoader.171.origin viene distribuito sotto il nome di KKBrowser. Le statistiche di download di Google Play mostrano circa 100.000 – 500.000 installazioni del programma, però se aggiungiamo a questa cifra i dati delle raccolte di applicazioni cinesi, attraverso cui anche viene distribuito l'Android.DownLoader.171.origin (Baidu — 880.000 installazioni, qq — 310.000, 360cn — 60.000, Wandoujia —58.000), il numero totale di scaricamenti supera un milione e mezzo.

Inoltre, nel catalogo Google Play è disponibile una versione di questo trojan progettata per gli utenti da Indonesia (conta 1000 - 5000 scaricamenti).

L'Android.DownLoader.171.origin combina in sé le funzioni di un trojan-downloader e di un'applicazione pubblicitaria. Dopo aversi installato sul dispositivo infettato, il programma malevolo si connette ai server di gestione e scarica le applicazioni indicate dai malintenzionati, e se sul dispositivo è disponibile l'accesso con i privilegi di root, le applicazioni si installano automaticamente, altrimenti sullo schermo del dispositivo viene visualizzata una relativa richiesta.

Il trojan può non soltanto installare, ma anche rimuovere programmi senza che l'utente si accorga di nulla — lo fa automaticamente se sono disponibili i permessi di root, oppure chiede all'utente di accettare l'operazione. Inoltre, l'Android.DownLoader.171.origin può visualizzare all'utente un avviso nella barra delle notifiche Android, che assomiglia a un avviso di un email in arrivo, però in realtà i suoi contenuti vengono determinati dal server di gestione — se l'utente fa clic su tale avviso, si apre la finestra del browser e viene eseguito il reindirizzamento su un sito indicato dai malintenzionati.

Il programma malevolo controlla se sono installati gli antivirus prodotti in Cina e anche raccoglie e manda sul server dei malintenzionati le informazioni circa il dispositivo infettato, per esempio la lingua della localizzazione e la versione del SO, la disponibilità o meno dell'accesso di root, il modello di dispositivo, la risoluzione dello schermo, il valore di IMEI ecc.

Gli specialisti Doctor Web ancora una volta richiamano l'attenzione degli utenti sul fatto che persino un'installazione di programmi da fonti ufficiali non può garantire una sicurezza al cento per cento dei dispositivi mobili. Soltanto l'utilizzo delle moderne soluzioni antivirus può salvaguardare i dispositivi contro diversi programmi malevoli.