Doctor Web: panoramica sull'attività di virus per dispositivi mobili a novembre 2020

16 dicembre 2020

A novembre i prodotti antivirus Dr.Web per Android hanno rilevato sui dispositivi protetti il 5,14% di minacce in meno rispetto a ottobre. Secondo le statistiche sui rilevamenti, il numero di programmi malevoli rilevati è diminuito del 8,37%. Allo stesso tempo, il numero di programmi indesiderati, potenzialmente pericolosi e pubblicitari è aumentato rispettivamente del 5,78%, il 13,16% e il 5,72%.

Tra le minacce che gli analisti di virus Doctor Web hanno rilevato sullo store di app Google Play c'era un trojan Android.Mixi.44.origin. Caricava e visualizzava siti sopra le finestre di altre applicazioni, cliccava impercettibilmente su link e consentiva ai malintenzionati di guadagnare attraverso l'installazione di determinati software da parte degli utenti.

Inoltre, i nostri specialisti hanno rilevato alcuni nuovi campioni della famiglia di trojan Android.Joker. Le loro funzionalità principali è caricare ed eseguire codice arbitrario, intercettare il contenuto delle notifiche in arrivo e iscrivere gli utenti a servizi a pagamento senza il consenso dei proprietari dei dispositivi Android.

La minaccia del mese

A metà novembre gli analisti di virus dell'azienda Doctor Web hanno rilevato su Google Play un trojan, Android.Mixi.44.origin, che era incorporato in un'app per la cura della vista degli utenti di dispositivi Android. Svolgeva in effetti la funzione dichiarata, ma aveva anche funzionalità nascoste.

Così, Android.Mixi.44.origin caricava siti e li mostrava sopra le finestre di altre applicazioni e l'interfaccia del sistema operativo interferendo con il normale utilizzo del dispositivo. Il contenuto di questi siti poteva essere qualsiasi: da banner e video pubblicitari a pagine di phishing.

Un'altra funzionalità del trojan era quella di cliccare su link in modo invisibile. Android.Mixi.44.origin riceveva dai malintenzionati una lista di indirizzi web da visitare. In questo modo il programma malevolo aumentava artificialmente la popolarità dei siti, e per questa attività i suoi autori ottenevano una ricompensa.

Oltre a ciò, il trojan cercava di guadagnare con installazioni di app recentemente effettuate. Per questo scopo, teneva traccia delle app che venivano installate e disinstallate dall'utente. Se i link ricevuti nei comandi portavano alle pagine di app su Google Play, Android.Mixi.44.origin controllava se queste app venivano già installate in precedenza. Se sì, il trojan trasmetteva al servizio di analisi le informazioni sui nomi dei pacchetti di questi programmi insieme all'identificatore referral dei malintenzionati. Cercava in questo modo di attribuire ai malintenzionati le installazioni con cui non avevano nulla a che fare.

Se tali programmi non venivano ancora installati, il trojan li ricordava e aspettava il momento quando l'utente li installerà, dopodiché cercava di ingannare allo stesso modo il servizio.

Ulteriori informazioni su Android.Mixi.44.origin sono ritrovabili nel relativo materiale di notizia sul sito dell'azienda Doctor Web.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.Click.348.origin

Un'app malevola che carica in autonomo siti web e clicca su banner pubblicitari e link presenti. Può diffondersi sotto le mentite spoglie di programmi innocui senza destare sospetti nell'utente.

Android.Triada.510.origin

Android.Triada.541.origin

Trojan multifunzionali che eseguono una varietà di azioni malevole. Appartengono a una famiglia di applicazioni trojan che si infiltrano nei processi di tutti i programmi in esecuzione. Diversi campioni di questa famiglia sono riscontrabili nel firmware di dispositivi Android in cui i malintenzionati li incorporano in fase di produzione. Inoltre, alcune loro varianti possono sfruttare vulnerabilità per ottenere l'accesso ai file e alle directory protetti del sistema.

Android.RemoteCode.6122

Un programma malevolo che carica ed esegue codice arbitrario. A seconda della variante, può anche caricare vari siti web, cliccare su link e banner pubblicitari, iscrivere gli utenti a servizi a pagamento ed eseguire altre operazioni.

Android.HiddenAds.518.origin

Un trojan progettato per la visualizzazione di pubblicità invadenti. Viene distribuito con il pretesto di applicazioni popolari tramite altri programmi malevoli che in alcuni casi lo installano di nascosto nella directory di sistema.

Program.FreeAndroidSpy.1.origin

Program.Reptilicus.7.origin

Program.Mrecorder.1.origin

Applicazioni che monitorano i proprietari di dispositivi Android e possono essere utilizzati per il cyberspionaggio. Sono in grado di controllare la posizione dei dispositivi, raccogliere dati circa la corrispondenza SMS, conversazioni sui social network, copiare documenti, foto e video, ascoltare telefonate e l'ambiente ecc.

Program.FakeAntiVirus.2.origin

Rilevamento di programmi adware che imitano il funzionamento dei software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.

Program.CreditSpy.2

Rilevamento di programmi studiati per valutare il merito creditizio sulla base dei dati personali degli utenti. Tali applicazioni caricano sul server remoto messaggi SMS, informazioni sui contatti dalla rubrica, la cronologia delle chiamate e altre informazioni.

Tool.Obfuscapk.1

Rilevamento di applicazioni protette tramite l'utility di offuscamento Obfuscapk. Questa utility viene utilizzata per la modifica e complicazione automatica del codice sorgente delle applicazioni Android per renderne più difficile il reverse engineering. I malintenzionati la impiegano per proteggere i programmi malevoli e altri programmi pericolosi dal rilevamento tramite gli antivirus.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.7.origin

Piattaforme software potenzialmente pericolose che consentono alle applicazioni di eseguire i file apk senza installazione. Creano un ambiente di esecuzione virtuale che non influisce sul sistema operativo principale.

Moduli software che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiose pubblicità su dispositivi mobili. A seconda della famiglia e della versione, sono in grado di mostrare annunci in modalità a schermo intero bloccando le finestre delle altre applicazioni, visualizzare varie notifiche, creare scorciatoie e caricare siti web.

• Adware.Adpush.36.origin
• Adware.SspSdk.1.origin
• Adware.Adpush.6547
• Adware.Myteam.2.origin
• Adware.Toofan.1.origin

Minacce su Google Play

Accanto ad Android.Mixi.44.origin durante l'ultimo mese di autunno gli analisti di virus dell'azienda Doctor Web hanno rilevato sullo store di app Google Play diverse nuove varianti dei trojan della famiglia Android.Joker. Sono state aggiunte al database dei virus Dr.Web come Android.Joker.418, Android.Joker.419 e Android.Joker.452. Questi trojan venivano distribuiti sotto le mentite spoglie di applicazioni innocue: un software di traduzione, una raccolta di immagini, nonché un'utility con un ampio set di funzioni, come ad esempio, bussola, torcia elettrica, livella, ecc.

Le app malevole caricavano ed eseguivano codice arbitrario, e inoltre, potevano iscrivere in autonomo gli utenti a servizi mobili a pagamento intercettando dalle notifiche in arrivo i codici di conferma dei servizi che venivano connessi.

Per proteggere i dispositivi Android da programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

• Il primo antivirus russo per Android
• Oltre 140 milioni di download solo da Google Play
• Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis