30 agosto 2018

Gli specialisti Doctor Web hanno rilevato nella directory Google Play decine di applicazioni malevole che i truffatori sulla rete utilizzano per guadagni illegali. Gli autori di questi programmi li spacciano per software noti o utili e li impiegano in vari schemi di frode. Inoltre, molte di tali applicazioni possono potenzialmente essere utilizzate per distribuire altri trojan.

Uno dei programmi malevoli rilevati, denominato Android.Click.265.origin, viene utilizzato dai malfattori per abbonare utenti a servizi mobili costosi. Questo è un tipo di frode sulla rete ben conosciuto che i criminali informatici intraprendenti praticano già da diversi anni. Android.Click.265.origin è camuffato da applicazione ufficiale per il negozio online della rete commerciale "Eldorado". Gli analisti di virus Doctor Web hanno rilevato due casi di infiltrazione del trojan in Google Play, e al momento della pubblicazione di questa notizia entrambe le varianti sono state rimosse dalla directory dei software per il sistema operativo Android.

Android.Click.265.origin eseguiva effettivamente le funzioni dichiarate dai suoi autori: caricava nella sua finestra la versione mobile del negozio online "Eldorado" e consentiva di utilizzarne le piene funzionalità. Tuttavia, oltre a questo, eseguiva azioni indesiderate. Il trojan visualizzava annunci fastidiosi, e inoltre apriva pagine di servizi mobile costosi e cliccava automaticamente sul pulsante di conferma abbonamento situato su di esse. Dopo questo, al conto mobile della vittima ogni giorno veniva addebitata una determinata somma.

Android.Click.248.origin è un altro trojan che i malintenzionati utilizzano in uno schema fraudolento abbonando a servizi premium gli utenti di smartphone e tablet Android. Questo programma malevolo, conosciuto dagli specialisti Doctor Web da aprile di quest'anno, il mese passato veniva distribuito di nuovo attraverso Google Play. Come anche in precedenza, gli autori di virus spacciavano Android.Click.248.origin per software noti, per esempio l'applicazione client della bacheca annunci online "Youla" e del negozio online AliExpress, nonché l'assistente vocale Alice dell'azienda Yandex.

Questo trojan apre uno dei siti di phishing su cui viene offerto all'utente di scaricare uno o altro programma noto o lui viene informato di una vincita di un premio di valore. Alla potenziale vittima della frode viene chiesto un numero di telefono presumibilmente per ricevere un codice di verifica. Tuttavia, in realtà, questo codice serve per confermare un abbonamento a un servizio a pagamento per cui ogni giorno verrà addebitata una somma al conto di telefonia. Se il dispositivo infetto è connesso a Internet tramite una connessione mobile, dopo l'inserimento del numero di telefono su tale sito il proprietario dello smartphone o tablet Android viene abbonato automaticamente al servizio premium. Esempi di pagine fraudolente caricate da Android.Click.248.origin sono mostrati sull'immagine sotto:

Oltre a ciò, tra i programmi malevoli che venivano distribuiti tramite la directory Google Play rilevati ad agosto dobbiamo segnalare molte altre varianti della famiglia di trojan Android.Click. I campioni di questa famiglia esaminati dai nostri analisti di virus venivano spacciati per programmi ufficiali di vari bookmaker, come Olympus, Mostbet, Fonbet, Liga stavok (Lega delle scommesse), 1xBet, Winline e altri ancora. In totale, gli specialisti Doctor Web hanno rilevato 127 tali programmi malevoli che venivano distribuiti da 44 sviluppatori software. L'azienda Google rimuove prontamente queste applicazioni da Google Play, però i truffatori intraprendenti continuano ad aggiungerle alla directory quasi ogni giorno.

Dopo l'avvio questi trojan si connettono a un server di controllo e ricevono da esso un comando di caricamento di uno o altro sito che viene mostrato all'utente. Al momento i programmi malevoli citati aprono le pagine ufficiali dei bookmaker, e il nome dell'applicazione trojan non influisce in nessun modo su quello quale sito viene caricato. Inoltre, in qualsiasi momento un server di controllo può impartire ai trojan un comando per aprire una risorsa web arbitraria, anche un portale online fraudolento o malevolo da cui sul dispositivo Android possono essere scaricati ulteriori programmi malevoli. Proprio per questa ragione questi trojan rappresentano un serio pericolo.

Infine, un altro trojan di frode rilevato il mese scorso si nascondeva in un'applicazione chiamata "Sondaggio". È stato aggiunto al database dei virus come Android.FakeApp.110. I suoi autori promettevano agli utenti ricompense monetarie per la partecipazione a semplici sondaggi che non richiedano più di pochi minuti.

All'avvio Android.FakeApp.110 caricava un sito fraudolento appartenente ai malfattori su cui alle potenziali vittime veniva chiesto di rispondere ad alcune semplici domande fatte presumibilmente da parte di sponsor disposti a pagare generosamente per la partecipazione all'indagine marketing. Per esempio, le domande erano quale profumo l'utente preferisce o quale marca di auto ha.

Al proprietario del dispositivo mobile veniva promessa una ricompensa di decine o addirittura centinaia di migliaia di rubli dopo al risposta a diverse queste domande. Allo stesso tempo l'utente veniva avvertito che, presumibilmente a causa di un limite dei sistemi di pagamento, il trasferimento di questi soldi verrà effettuato in più parti entro un certo periodo di tempo. Tuttavia, per ottenere istantaneamente il guadagno spettante, la vittima deve solo effettuare un certo pagamento di identificazione per un importo di 100–200 rubli che presumibilmente confermerà l'identità del "fortunato". In questo consiste il senso della frode descritta: la vittima dell'inganno dà volontariamente i suoi soldi ai truffatori sulla rete aspettandosi di ricevere una ricompensa promessa, ma certamente non vedrà mai pagamenti favolosi. Gli specialisti Doctor Web hanno notificato la società Google di questa applicazione malevola, e al momento essa non è disponibile per il download.

Per portare via i soldi dei proprietari di dispositivi mobili e ottenere altri guadagni, i malfattori impiegano svariati tipi di trucchi, e inoltre inventano sempre nuovi schemi di frode. L'azienda Doctor Web vi ricorda che le applicazioni persino dalla directory Google Play vanno installate con cautela. Vale la pena prestare attenzione al nome dello sviluppatore di un software, alla data di pubblicazione del programma desiderato, nonché ai feedback di altri utenti. Queste semplici azioni contribuiranno a ridurre il rischio di infezione di smartphone e tablet. Inoltre, per la protezione di dispositivi mobili Android consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android che rilevano e rimuovono con successo tutti i programmi malevoli e indesiderati conosciuti.

Informazioni su Android.Click.265.origin

Informazioni su Android.Click.248.origin

Informazioni su Android.FakeApp.110

#Android, #frode, #Google_Play, #trojan