26 novembre 2015

Per molti sviluppatori la visualizzazione di pubblicità nelle applicazioni mobile è uno dei principali modi di guadagno. Questo modo viene utilizzato non soltanto dai produttori dei software affidabili, ma anche dai criminali informatici che creano vari programmi malevoli. Uno di tali programmi è il trojan Android.Spy.510 scoperto dagli specialisti Doctor Web che installa su smartphone e tablet Android un modulo di pubblicità che mostra annunci sopra la maggior parte delle applicazioni avviate.

Android.Spy.510 si nasconde in un lettore multimediale inizialmente innocuo ma modificato dai malintenzionati che lo hanno chiamato «AnonyPlayer». La versione trojan del lettore possiede tutte le funzioni dell'originale ed è completamente operativa, perciò le potenziali vittime non dovrebbero sospettare che è pericolosa.

Dopo l'installazione e l'avvio Android.Spy.510 raccoglie e trasmette sul server di gestione una serie di dati confidenziali, tra cui il login dell'account di Google Play, il modello dello smartphone o del tablet infetto, la versione SDK del sistema operativo, nonché le informazioni sulla disponibilità dell'accesso di root. Quindi il trojan cerca di installare un pacchetto di software nascosto all'interno delle sue risorse che contiene le principali funzioni dannose richieste dai malintenzionati. A tale scopo Android.Spy.510 visualizza un avviso in cui informa della necessità di installare l'applicazione AnonyService per fornire l'anonimato e impedire a terzi di ottenere informazioni confidenziali. In realtà questo programma non dispone di tali funzioni ma è un modulo di pubblicità, inserito nel database dei virus Dr.Web come Adware.AnonyPlayer.1.origin.

Subito dopo l'avvio Adware.AnonyPlayer.1.origin richiede al proprietario del dispositivo mobile l'accesso alle possibilità speciali del sistema operativo (Accessibility Service), dopodiché passa alla modalità di attesa e comincerà l'attività indesiderata solo alcuni giorni dopo l'installazione. Questo ha lo scopo di diminuire la probabilità di scoperta da parte dell'utente della fonte dell'attività indesiderata sul dispositivo infetto.

Dopo il tempo impostato Adware.AnonyPlayer.1.origin, grazie alle funzioni Accessibility Service, comincia a monitorare tutti gli eventi nel sistema e attende il momento quando la vittima avvierà qualche applicazione. Una volta che questo accade, il modulo procede immediatamente a svolgere il suo compito principale – cioè visualizzare pubblicità. All'inizio Adware.AnonyPlayer.1.origin controlla se il programma relativo si trova nella "white list" in cui i malintenzionati hanno messo una serie di applicazioni che secondo loro non contengono le funzioni per la visualizzazione di pubblicità:

• org.adw.launcher
• com.android.launcher
• com.android.systemui
• com.android.settings
• com.android.dialer
• com.huawei.android.launcher
• com.google.android.gm
• com.android.deskclock
• com.android.calendar
• com.android.contacts
• com.sec.android.app.camera
• com.lge.settings.easy
• com.android.providers.downloads.ui
• com.android.calculator2
• com.android.mms
• com.android.phone
• android
• com.lge.clock
• com.sec.android.app.launcher
• com.android.gallery
• com.android.camera
• com.google.android.apps.maps
• com.lge.launcher2
• com.apusapps.launcher
• com.lge.splitwindow
• com.sonyericsson.home
• com.android.incallui
• com.google.android.inputmethod.latin
• com.whatsapp
• com.android.packageinstaller

Se Adware.AnonyPlayer.1.origin trova una corrispondenza in questa lista, non esegue ulteriori azioni poiché la visualizzazione di pubblicità dopo l'avvio dei programmi "puliti", tra cui ci sono molti software di sistema e applicativi popolari, può mettere in guardia l'utente che potrà scoprire la vera fonte della pubblicità.

Se l'applicazione avviata non è presente in questa lista, Adware.AnonyPlayer.1.origin tramite l'elemento WebView genera un avviso che viene mostrato sopra la finestra del programma in esecuzione e contiene la pubblicità indicata dal server di gestione. Come risultato il proprietario dello smartphone o del tablet Android infetto potrebbe pensare che proprio l'applicazione che ha avviato sia la fonte degli avvisi che visualizzano pubblicità indesiderata. Per allontanare ogni sospetto dalle loro "creature" gli autori dei virus hanno assicurato che nessuna pubblicità venga mostrata all'avvio del modulo Adware.AnonyPlayer.1.origin e del trojan Android.Spy.510 нche l'ha installato.

Gli specialisti Doctor Web consigliano vivamente ai proprietari dei dispositivi Android di installare soltanto le applicazioni ottenute da fonti attendibili. Inoltre, gli utenti dovrebbero trattare con particolare cautela i programmi che richiedono l'accesso alle possibilità speciali del sistema operativo (Accessibility Service). Se un'applicazione malevola ottiene tale accesso, potrà interagire con l'interfaccia grafica (per esempio processare in modo autonomo le finestre di dialogo) e persino intercettare informazioni digitate dall'utente, operando come un keylogger. Come risultato otterrà la possibilità di rubare dati confidenziali, quali i messaggi, le richieste di ricerca e persino le password.

I record per il rilevamento del trojan Android.Spy.510e del modulo di pubblicità Adware.AnonyPlayer.1.origin da esso installato sono stati inseriti nel database dei virus Dr.Web perciò non rappresentano alcun pericolo ai nostri utenti.