Ad aprile l'azienda Doctor Web ha informato di un trojan, Android.InfectionAds.1, che sfruttava diverse vulnerabilità critiche del sistema operativo Android. Attraverso le falle poteva infettare altri programmi, nonché rimuovere e installare software senza partecipazione dell'utente. Inoltre, gli analisti di virus hanno rilevato nuove versioni del trojan banker Android.Banker.180.origin, studiate per rubare denaro ai clienti di istituzioni creditizie giapponesi. Sono state rilevate nuove applicazioni malevole che si diffondevano attraverso Google Play. Tra di esse c'erano i trojan downloader Android.DownLoader DownLoader che scaricavano sui dispositivi mobili banker Android, nonché i clicker della famiglia Android.Click e gli stealer Android.PWS.Instagram che rubavano le credenziali di utenti di Instagram. Inoltre, al database dei virus Dr.Web sono stati aggiunti i record per il rilevamento di altri programmi malevoli.

LE PRINCIPALI TENDENZE DI APRILE

Comparsa di nuove applicazioni malevole su Google Play
Propagazione di trojan banker

La minaccia mobile del mese

La minaccia mobile del mese parlato di un pericoloso trojan, Android.InfectionAds.1, che i malintenzionati integrano in programmi originariamente innocui e distribuiscono attraverso directory di applicazioni Android di terze parti. Questo trojan sfrutta vulnerabilità critiche del sistema operativo Android, utilizzando le quali infetta file apk (la vulnerabilità CVE-2017-13156), e inoltre installa e rimuove in autonomo altri programmi (la vulnerabilità CVE-2017-13315). Oltre a ciò, Android.InfectionAds.1 mostra fastidiosi banner pubblicitari che ostacolano il normale utilizzo dei dispositivi infetti. Maggiori informazioni su questo trojan sono ritrovabili nella nostra libreria di virus.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.Backdoor.682.origin: Trojan che esegue comandi dei malintenzionati e permette loro di controllare i dispositivi mobili infetti.
Android.HiddenAds.1102
Android.HiddenAds.261.origin: Trojan progettati per la visualizzazione di pubblicità invadenti. Vengono distribuiti sotto le mentite spoglie di applicazioni popolari tramite altri programmi malevoli che in alcuni casi li installano di nascosto nella directory di sistema.
Android.RemoteCode.4411: Software malevolo progettato per il download e l'esecuzione di codice arbitrario.
Android.DownLoader.812.origin: Un trojan che carica altre applicazioni malevole.

Adware.Zeus.1
Adware.AdPush.33.origin
Adware.Toofan.1.origin
Adware.Jiubang.2: Moduli software indesiderati che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiosa pubblicità sui dispositivi mobili.
Tool.VirtualApk.1.origin: Piattaforma software potenzialmente pericolosa che permette alle applicazioni di eseguire files apk senza installarli.

Banker Android

Il mese passato gli utenti di dispositivi Android venivano minacciati da nuovi trojan banker. Alla fine di aprile gli analisti Doctor Web hanno rilevato nuove versioni del malware Android.Banker.180.origin. Esse si diffondevano sotto le mentite spoglie di software studiati per tracciare pacchi (per esempio, un'app con il nome «佐川急便») ed erano destinate agli utenti giapponesi. Dopo l'avvio, i trojan rimuovono la propria icona, nascondendosi all'utente.

Queste versioni di Android.Banker.180.origin vengono controllate attraverso pagine appositamente create nel social network VKontakte. Su tali pagine nel campo "Attività" si trova in forma crittografata l'indirizzo di uno dei server di gestione del banker. Il programma malevolo cerca questo campo tramite un'espressione regolare, decifra l'indirizzo e si connette al server.

Questi trojan intercettano e inviano messaggi SMS su comando dei malintenzionati, visualizzano finestre di phishing, sono in grado di effettuare telefonate e ascoltare l'ambiente utilizzando il microfono del dispositivo compromesso. Possono inoltre effettuare la gestione degli smartphone e tablet: attivare autonomamente il modulo Wi-Fi, stabilire una connessione internet tramite una rete mobile, bloccare lo schermo, ecc.

Oltre a ciò, vari banker Android venivano scaricati sui dispositivi mobili da nuovi downloader rilevati su Google Play, appartenenti alla famiglia Android.DownLoader, per esempio Android.DownLoader.4303. Venivano distribuiti sotto l'apparenza di applicazioni finanziarie.

Trojan su Google Play

Oltre ai downloader, sono stati trovati su Google Play anche altri trojan, per esempio Android.Click.303.origin e Android.Click.304.origin. Si diffondevano con il pretesto di applicazioni innocue — giochi e programmi per vedere la tv. Gli analisti di virus Doctor Web hanno rilevato 36 simili trojan. Sono stati scaricati da oltre 151.000 utenti.

Questi programmi malevoli aprono un'attività invisibile con diversi elementi WebView, in uno dei quali caricano un sito web per ricevere da esso comandi di controllo. In altri WebView i trojan possono caricare diversi script JavaScript e siti impostati dai malintenzionati su cui simulano azioni dell'utente. Sui siti i trojan vanno su link e banner pubblicitari aumentando artificialmente il numero di visite e clic. Oltre a ciò, facendo clic su pulsanti appositamente formati su questi siti, essi possono iscrivere i proprietari di dispositivi mobili a servizi a pagamento se gli operatori mobili degli utenti supportano la tecnologia di abbonamenti rapidi Wap-Click. Per rendere più difficile la rimozione, i trojan nascondono le proprie icone dal menu della schermata principale del sistema operativo.

Alla fine del mese al database dei virus Dr.Web sono stati aggiunti i record per il rilevamento dei trojan Android.PWS.Instagram.4 e Android.PWS.Instagram.5. I criminali informatici li distribuivano sotto l'apparenza di programmi utili per utenti di Instagram — saranno studiati per aumentare artificialmente il numero di "mi piace" e di iscritti, nonché per elevare la sicurezza dell'account. All'avvio i trojan richiedevano alle potenziali vittime dell'inganno le loro credenziali trasferendole quindi sul server dei malintenzionati.

Altre minacce

Tra le altre applicazioni malevole che minacciavano i proprietari di smartphone e tablet Android ad aprile c'era il trojan Android.FakeApp.2.origin. Era nascosto in un programma che avrà fornito 25 GB di traffico internet gratuito agli abbonati dell'operatore mobile indiano Jio.

Per diffondersi al maggior numero di utenti, il trojan inviava messaggi SMS contenenti il link alla pagina di download della sua copia ai numeri presenti nella rubrica del dispositivo infetto. L'obiettivo principale di Android.FakeApp.2.origin è quello di mostrare banner pubblicitari.

Tra i trojan che minacciano i proprietari di dispositivi Android, ci sono varie applicazioni malevole che si propagano attraverso siti web e la directory ufficiale Google Play. Per proteggere i vostri smartphone e tablet, vi consigliamo di installare i prodotti antivirus Dr.Web per Android.

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

Il primo antivirus russo per Android
Oltre 140 milioni di download solo da Google Play
Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis