Doctor Web: panoramica sull'attività di virus per dispositivi mobili a ottobre 2019

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "In primo piano" }, { box => "La minaccia del mese" }, { box => "Statistiche" }, { box => "Trojan su Google Play" } ] #FILE_REVIEW = 'https://st.drweb.com/static/new-www/news/2019/DrWeb_review_mobile_october_2019.pdf' %] [% BLOCK global.tpl_blueprint.content %]

13 novembre 2019

Il secondo mese di autunno si è rivelato inquieto per i proprietari di dispositivi Android. Gli analisti di virus Doctor Web hanno individuato nel catalogo delle app Google Play numerosi programmi malevoli – in particolare, i trojan clicker Android.Click che iscrivevano gli utenti a servizi a pagamento. Tra le minacce rilevate c'erano anche le applicazioni malevole della famiglia Android.Joker. Anch'esse iscrivevano gli utenti vittime a costosi servizi e potevano eseguire codice arbitrario. Inoltre, i nostri specialisti hanno rilevato altri trojan.

La minaccia mobile del mese

All'inizio di ottobre l'azienda Doctor Web ha informato gli utenti su diversi trojan clicker che nel database dei virus Dr.Web erano stati aggiunti come Android.Click.322.origin, Android.Click.323.origin e Android.Click.324.origin. Queste app malevole caricavano impercettibilmente siti web su cui iscrivevano in autonomo le loro vittime a servizi mobili a pagamento. Caratteristiche dei trojan:

• sono integrati in software innocui;
• sono protetti da un packer commerciale;
• si mascherano da noti SDK;
• attaccano gli utenti da determinati paesi.

Durante tutto il mese i nostri analisti di virus rilevavano ulteriori varianti di questi clicker — ad esempio, Android.Click.791, Android.Click.800, Android.Click.802, Android.Click.808, Android.Click.839, Android.Click.841. In seguito sono inoltre state trovate applicazioni malevole simili che sono state chiamate Android.Click.329.origin, Android.Click.328.origin e Android.Click.844. Anch'esse iscrivevano gli utenti vittime a servizi a pagamento, ma i loro sviluppatori potevano essere altri autori di virus. Tutti questi trojan si nascondevano in programmi apparentemente innocui — fotocamere, software di fotoritocco, raccolte di sfondi per desktop.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.472.origin

Trojan che mostra pubblicità invadenti.

Android.RemoteCode.5564

Applicazione malevola che carica ed esegue codice arbitrario.

Android.Backdoor.682.origin

Trojan che esegue comandi dei malintenzionati e permette loro di controllare i dispositivi mobili infetti.

Android.DownLoader.677.origin

Downloader di altri programmi malevoli.

Android.Triada.465.origin

Un trojan multifunzionale che esegue una varietà di azioni malevole.

• Program.FakeAntiVirus.2.origin
  Rilevamento delle applicazioni adware che imitano il funzionamento dei software antivirus.
• Program.MonitorMinor.1.origin
• Program.MobileTool.2.origin
• Program.FreeAndroidSpy.1.origin
• Program.SpyPhone.4.origin
  Programmi che spiano i proprietari di dispositivi Android e possono essere utilizzati per il cyber-spionaggio.

• Tool.SilentInstaller.6.origin
• Tool.SilentInstaller.7.origin
• Tool.SilentInstaller.11.origin
• Tool.VirtualApk.1.origin
  Piattaforme software potenzialmente pericolose che consentono alle applicazioni di eseguire i file apk senza installazione.
• Tool.Rooter.3
  Utility progettata per l'ottenimento dei permessi di root su dispositivi Android. Può essere utilizzata dai malintenzionati e dai programmi malevoli.

Moduli software che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiose pubblicità su dispositivi mobili:

• Adware.Patacore.253
• Adware.Myteam.2.origin
• Adware.Toofan.1.origin
• Adware.Adpush.6547
• Adware.Altamob.1.origin

Trojan su Google Play

Oltre ai trojan clicker, gli analisti di virus Doctor Web hanno rilevato su Google Play numerose nuove versioni, nonché varianti delle applicazioni malevole già conosciute della famiglia Android.Joker. Tra cui Android.Joker.6 Android.Joker.7 Android.Joker.8 Android.Joker.9 Android.Joker.12 Android.Joker.18 Android.Joker.20.origin. Questi trojan caricano e lanciano moduli malevoli aggiuntivi, sono in grado di eseguire codice arbitrario e iscrivono gli utenti a costosi servizi mobili. Si diffondono sotto le mentite spoglie di programmi utili e innocui — raccolte di immagini per desktop, fotocamere con filtri artistici, varie utility, fotoritocco, giochi, messaggistica internet e altri software.

Inoltre, i nostri specialisti hanno rilevato un nuovo trojan pubblicitario dalla famiglia Android.HiddenAds, chiamato Android.HiddenAds.477.origin. Veniva distribuito dai malintenzionati sotto le mentite spoglie di un lettore video e un'app che fornisce informazioni sulle chiamate. Dopo l'avvio il trojan nascondeva la sua icona nella lista delle applicazioni della schermata principale di SO Android e cominciava a visualizzare annunci invadenti.

Inoltre, al database dei virus Dr.Web sono stati aggiunti i record per il rilevamento dei trojan Android.SmsSpy.10437 e Android.SmsSpy.10447. Erano nascosti in una raccolta di immagini e un'applicazione fotocamera. Entrambi i software malevoli intercettavano il contenuto dei messaggi sms in arrivo, e inoltre, Android.SmsSpy.10437 poteva eseguire codice arbitrario scaricato dal server di gestione.

Per proteggere i dispositivi Android da programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

[% END %]