Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

In più di 100 applicazioni su Google Play è stato rilevato un trojan-spia che mostra pubblicità

31 marzo 2016

Sono sempre più diffusi i programmi malevoli per SO Android che generano reddito per i loro creatori mostrando pubblicità non richiesta. Un successivo trojan di questo genere, che possiede anche le funzioni spione, denominato Android.Spy.277.origin, è stato rilevato dagli specialisti Doctor Web in oltre 100 applicazioni pubblicate nella directory Google Play.

I programmi che includono Android.Spy.277.origin origin sono per lo più versioni manipolate dei software popolari di cui il nome e l'aspetto esteriore sono stati utilizzati dai malfattori per attirare l'attenzione degli utenti e per aumentare il numero di download del trojan. In particolare, tra le falsificazioni trovate dal team di Doctor Web ci sono varie utility, editor di fotografie, shell grafiche, sfondi animati ed altre applicazioni. In totale, gli analisti dei virus hanno individuato oltre 100 programmi che contengono Android.Spy.277.origin, mentre il numero totale di download ha superato 3.200.000. L'azienda Doctor Web ha informato il servizio di sicurezza dell'azienda Google circa il problema, e per il momento alcune di queste applicazioni malevole sono già non disponibili per il download dalla directory Google Play.

Quando i programmi che includono il trojan vengono eseguiti, il spione trasmette sul server di gestione le informazioni molto dettagliate circa il dispositivo mobile infetto: Tra le altre cose, il malware raccoglie le seguenti informazioni:

  • indirizzo email associato all'account di utente di Google;
  • identificatore IMEI;
  • versione dell'SO;
  • versione del sistema SDK;
  • nome del modello del dispositivo;
  • risoluzione dello schermo;
  • identificatore del servizio Google Cloud Messaging (GCM id);
  • numero di cellulare;
  • paese di residenza dell'utente;
  • tipo di CPU;
  • indirizzo MAC della scheda di rete;
  • parametro "user_agent" generato secondo un specifico algoritmo;
  • nome dell'operatore mobile;
  • tipo di connessione di rete;
  • sottotipo di rete;
  • disponibilità dei permessi di root nel sistema;
  • disponibilità nell'applicazione, in cui si trova il trojan, dei permessi dell'amministratore del dispositivo;
  • nome del pacchetto dell'applicazione che contiene il trojan;
  • presenza dell'applicazione Google Play installata.

Ogni volta quanto l'utente avvia una o altra applicazione installata sul dispositivo, il trojan trasmette nuovamente sul server i dati sopraccitati, il nome dell'applicazione eseguita, nonché richiede i parametri necessari per iniziare la visualizzazione della pubblicità. In particolare, Android.Spy.277.origin può ricevere le seguenti istruzioni:

  • "show_log" – attiva o disattiva la registrazione di dati nel log del trojan;
  • "install_plugin" – installa un plugin celato all'interno del pacchetto software dell'applicazione malevola;
  • "banner", "interstitial", "video_ads" – mostra diversi tipi di banner pubblicitari (anche sopra l'interfaccia dell'SO e delle altre applicazioni);
  • "notification" – mostra nella barra informazioni la notifica con i parametri ricevuti;
  • "list_shortcut" – metti sul desktop degli shortcut, premuti i quali si apriranno determinate sezioni nella directory Google Play;
  • "redirect_gp" – apri nell'applicazione Google Play la pagina con l'indirizzo impostato nel comando;
  • "redirect_browser" – apri l'indirizzo impostato nel browser preinstallato;
  • "redirect_chrome" – apri l'indirizzo impostato nel browser Chrome;
  • "redirect_fb" – vai alla pagina di Facebook indicata nel comando.

Come si vede dagli esempi di banner pubblicitari riportati di seguito, il trojan può effettivamente intimidire gli utenti, per esempio visualizzando le false informazioni sui danni alla batteria e offrendo di scaricare programmi non richiesti per "ripararla".

#drweb   #drweb

Di seguito sono mostrati degli esempi dei messaggi pubblicitari che vengono visualizzati nella barra delle notifiche, nonché degli shortcut, premuti i quali l'utente va su pagine con delle applicazioni pubblicizzate, disponibili nella directory Google Play.

#drweb   #drweb   #drweb

È da notarsi che il plugin, celato nelle risorse di file di Android.Spy.277.origin, ha le stesse funzionalità del trojan stesso. Dopo aver ottenuto il comando necessario dal server, l'applicazione malevola cerca di installare questo plugin con il pretesto di un update importante. Dopo tale installazione, sul dispositivo infetto si trovano de fatto due copie di Android.Spy.277.origin, dunque anche se si elimina la versione originale del trojan, nel sistema rimane un suo "sostituto" che continuerà la visualizzazione della pubblicità indesiderata.

Di seguito elenchiamo una lista di nomi dei pacchetti software delle applicazioni in cui per il momento è stato trovato il trojan::

  • com.true.icaller
  • com.appstorenew.topappvn
  • com.easyandroid.free.ios6
  • com.entertainmentphotoedior.photoeffect
  • lockscreenios8.loveslockios.com.myapplication
  • com.livewallpaper.christmaswallpaper
  • com.entertainment.drumsetpro
  • com.entertainment.nocrop.nocropvideo
  • com.entertainment.fastandslowmotionvideotool
  • com.sticker.wangcats
  • com.chuthuphap.xinchu2016
  • smartapps.cameraselfie.camerachristmas
  • com.ultils.scanwifi
  • com.entertainmenttrinhduyet.coccocnhanhnhat
  • com.entertainment.malmath.apps.mm
  • com.newyear2016.framestickertet
  • com.entertainment.audio.crossdjfree
  • com.igallery.styleiphone
  • com.crazystudio.mms7.imessager
  • smartapps.music.nhactet
  • com.styleios.phonebookios9
  • com.battery.repairbattery
  • com.golauncher.ip
  • com.photo.entertainment.blurphotoeffect.photoeffect
  • com.irec.recoder
  • com.Jewel.pro2016
  • com.tones.ip.ring
  • com.entertainment.phone.speedbooster
  • com.noelphoto.stickerchristmas2016
  • smartapps.smstet.tinnhantet2016
  • com.styleios9.lockscreenchristmas2016
  • com.stickerphoto.catwangs
  • com.ultils.frontcamera
  • com.phaotet.phaono2
  • com.video.videoplayer
  • com.entertainment.mypianophone.pianomagic
  • com.entertainment.vhscamcorder
  • com.o2yc.xmas
  • smartapps.musictet.nhacxuan
  • com.inote.iphones6
  • christmas.dhbkhn.smartapps.christmas
  • com.bobby.carrothd
  • om.entertainment.camera.fisheyepro
  • com.entertainment.simplemind
  • com.icall.phonebook.io
  • com.entertainment.photo.photoeditoreffect
  • com.editphoto.makecdcover
  • com.tv.ontivivideo
  • smartapps.giaixam.gieoquedaunam
  • com.ultils.frontcamera
  • com.applock.lockscreenos9v4
  • com.beauty.camera.os
  • com.igallery.iphotos
  • com.calculator.dailycalories
  • com.os7.launcher.theme
  • com.trong.duoihinhbatchu.chucmungnammoi
  • com.apppro.phonebookios9
  • com.icamera.phone6s.os
  • com.entertainment.video.reversevideo
  • com.entertainment.photoeditor.photoeffect
  • com.appvv.meme
  • com.newyear.haitetnew
  • com.classic.redballhd
  • com.entertainmentmusic.musicplayer.styleiphoneios
  • com.camera.ios8.style
  • com.countdown.countdownnewyear2016
  • com.photographic.iphonecamera
  • com.contactstyle.phonebookstyleofios9
  • com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect
  • com.color.christmas.xmas
  • com.bottle.picinpiccamera
  • com.entertainment.videocollagemaker
  • com.wallpaper.wallpaperxmasandnewyear2016
  • com.ultils.lockapp.smslock
  • com.apppro.phonebookios9
  • com.entertainment.myguitar.guitarpro
  • com.sticker.stickerframetet2016
  • com.bd.android.kmlauncher
  • com.entertainment.batterysaver.batterydoctor
  • com.trong.jumpy.gamehaynhatquadat
  • com.entertainmentphotocollageeditor
  • smartapps.smsgiangsinh.christmas2016
  • smartapps.musicchristmas.christmasmusichot
  • com.golauncher.ip
  • com.applock.lockscreenos9v4
  • com.imessenger.ios
  • com.livewall.paper.xmas
  • com.main.windows.wlauncher.os.wp
  • com.entertainmentlaunchpad.launchpadultimate
  • com.fsoft.matchespuzzle
  • com.entertainment.photodat.image.imageblur
  • com.videoeditor.instashot
  • com.entertainment.hi.controls
  • com.icontrol.style.os
  • smartapps.zing.video.hot
  • com.photo.entertainment.photoblur.forinstasquare
  • com.entertainment.livewallpaperchristmas
  • com.entertainment.tivionline
  • com.iphoto.os
  • com.tool.batterychecker
  • com.photo.multiphotoblur
  • smartapps.nhactet.nhacdjtet
  • com.runliketroll.troll
  • com.jinx.metalslug.contra

L'azienda Doctor Web consiglia ai proprietari di smartphone e tablet Android di essere attenti quando scaricano software e di installare applicazioni soltanto se hanno fiducia nell'affidabilità dello sviluppatore. Tutte le varianti conosciute di Android.Spy.277.origin vengono rilevate e rimosse con successo dai prodotti antivirus Dr.Web per Android, quindi questo trojan non rappresenta alcun pericolo per i nostri utenti.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A