Secondo i dati delle statistiche sui rilevamenti dell'antivirus Dr.Web per Android, a ottobre le applicazioni che visualizzano annunci indesiderati restavano una delle minacce più diffuse. Tuttavia, rispetto al mese scorso, la loro attività è leggermente diminuita.

Mostravano una notevole attività i trojan bancari e le applicazioni che consentono ai malintenzionati di spiare gli utenti. Ad esempio, i proprietari di dispostivi Android di nuovo dovevano affrontare il programma trojan Android.Spy.4498 e le sue diverse varianti. È in grado di rubare il contenuto delle notifiche da altre applicazioni, il che può portare alla fuga di dati riservati.

Allo stesso tempo, durante il mese, gli analisti di virus dell'azienda Doctor Web hanno rilevato sullo store di app Google Play numerose nuove minacce, inclusi software malevoli, pubblicitari e indesiderati.

PRINCIPALI TENDENZE DI OTTOBRE

Le applicazioni trojan che visualizzano pubblicità indesiderata restano tra le minacce Android più diffuse
Comparsa di nuove minacce sullo store di app Google Play

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.Spy.4498
Android.Spy.5106: Rilevamento di diverse varianti di un trojan che ruba il contenuto delle notifiche da altre applicazioni. Inoltre, scarica altri programmi e suggerisce agli unteti di installarli ed è in grado di visualizzare finestre di dialogo.
Android.MobiDash.6945: Programma trojan che visualizza annunci pubblicitari invadenti. È un modulo software che gli sviluppatori software incorporano nelle applicazioni.
Android.HiddenAds.3558: Programma trojan progettato per la visualizzazione di pubblicità invadenti. I campioni di questa famiglia spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri programmi malevoli. Infiltrandosi su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.
Android.BankBot.11466: Rilevamento di applicazioni malevole protette dal software packer ApkProtector. Tra di esse possono esserci trojan bancari, spyware e altri software malevoli.

Program.FakeAntiVirus.1: Rilevamento di programmi adware che imitano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.
Program.wSpy.1.origin: Programma spia commerciale per il monitoraggio nascosto dei proprietari di dispositivi Android. Consente di leggere la corrispondenza dell'utente (messaggi in popolari programmi di messaggistica istantanea ed SMS), ascoltare l'ambiente, tracciare la posizione del dispositivo, monitorare la cronologia del browser, ottenere l'accesso alla rubrica e ai contatti, alle fotografie e ai video, fare screenshot e scattare fotografie con la fotocamera del dispositivo, nonché ha la funzionalità keylogger.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Rilevamento di varie versioni di un'applicazione per la ripresa di foto e video in background attraverso le fotocamere integrate di dispositivi Android. Questa applicazione può funzionare in modo impercettibile consentendo di disattivare le notifiche sulla ripresa, nonché cambiare con quelle false l'icona dell'app e la sua descrizione. Tali funzionalità la rendono potenzialmente pericolosa.
Program.WapSniff.1.origin: Programma per l'intercettazione dei messaggi nel programma di messaggistica WhatsApp.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.6.origin
Tool.SilentInstaller.7.origin: Piattaforme software potenzialmente pericolose che consentono alle applicazioni di eseguire i file apk senza installazione. Creano un ambiente di esecuzione virtuale che non influisce sul sistema operativo principale.
Tool.Obfuscapk.1: Rilevamento di applicazioni protette tramite l'utility di offuscamento Obfuscapk. Questa utility viene utilizzata per modificare e offuscare automaticamente il codice sorgente di applicazioni Android per complicarne il reverse engineering. I malintenzionati la impiegano per proteggere i programmi malevoli e altri programmi pericolosi dal rilevamento tramite gli antivirus.

Moduli software che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiose pubblicità su dispositivi mobili. A seconda della famiglia e della versione, sono in grado di mostrare annunci in modalità a schermo intero bloccando le finestre di altre applicazioni, visualizzare varie notifiche, creare scorciatoie e caricare siti web.

Adware.SspSdk.1.origin
Adware.AdPush.36.origin
Adware.Adpush.6547
Adware.Fictus.1.origin
Adware.Airpush.7.origin

Minacce su Google Play

All'inizio di ottobre gli analisti di virus Doctor Web hanno rilevato sullo store Google Play un programma trojan, Fast Cleaner & Cooling Master, che veniva spacciato dai malintenzionati per utility di ottimizzazione del funzionamento del sistema operativo. Viene gestito tramite i comandi che riceve attraverso Firebase Cloud Messaging o AppMetrica Push SDK. A seconda del comando, l'applicazione visualizza pubblicità o avvia sul dispositivo Android un server proxy per l'utilizzo da parte di persone terze che possono reindirizzare il traffico attraverso di esso. Le varie versioni di questo trojan vengono rilevate dall'antivirus Dr.Web come Android.Proxy.35, Android.Proxy.36 e Android.Proxy.37.

Successivamente, sono state rilevate delle applicazioni contenenti un nuovo modulo pubblicitario Adware.FireAd. Riceve i comandi attraverso Firebase Cloud Messaging e apre nel browser i link in essi impostati. Il modulo era incorporato in alcune versioni di programmi come Volume, Music Equalizer (versioni 2.9-3.5, vengono rilevate da Dr.Web come Adware.FireAd.1), Bluetooth device auto connect (versioni 46-58, vengono rilevate come Adware.FireAd.2) e Bluetooth & Wi-Fi & USB driver (versioni 15-19, vengono rilevate come Adware.FireAd.2).

Alla fine di ottobre al database dei virus Dr.Web è stato aggiunto il record Program.FakeMoney.3 per il rilevamento di un'applicazione indesiderata con il nome TubeBox. Utilizzandola, i proprietari di dispostivi Android, presumibilmente, sarebbero in grado di guadagnare con la visualizzazione di filmati e pubblicità.

Per ciascuna visualizzazione, sul loro conto interno sarebbe accreditata una ricompensa — monete e buoni che possono essere convertiti in denaro e prelevati in modo conveniente — ad esempio, tramite bonifico bancario o sistemi di pagamento. Per prelevare i soldi, sarebbe necessario accumulare un importo minimo ammesso. Ma se l'importo richiesto veniva accumulato con il tempo, gli utenti non potevano ottenere i pagamenti a causa di qualche problema segnalato dal programma. I creatori dell'applicazione cercavano di trattenere le loro vittime al suo interno il più a lungo possibile in modo che loro continuino a guardare i video e la pubblicità, in realtà guadagnando denaro per i truffatori e non per sé.

Inoltre, durante il mese, sono stati trovati numerosi nuovi programmi falsificati della famiglia Android.FakeApp, che venivano impiegati dai cybercriminali in vari schemi di frode. Le applicazioni trojan venivano distribuite sotto le apparenze di programmi di investimento, che, presumibilmente, sarebbero direttamente legati a banche e aziende di materie prime russe, nonché venivano mascherati da prontuari e programmi per la partecipazione a sondaggi. I truffatori promettevano alle potenziali vittime (anche attraverso la pubblicità) che loro potranno seguire una formazione sugli investimenti, fare investimenti redditizi, fare trading di gas in modo autonomo e persino ottenere gratuitamente azioni delle aziende corrispondenti. In realtà, tali falsi programmi caricavano siti appositamente creati su cui, con il pretesto di partecipazione a sondaggi, registrazione di account o presentazione di domande, venivano raccolti i dati personali.

Di seguito sono riportati esempi di pubblicità in cui le potenziali vittime vengono invitate a installare le applicazioni trojan. I malintenzionati utilizzano le immagini di persone e aziende famose, e inoltre, fanno affermazioni clamorose. In particolare, promettono alti rendimenti e accompagnano la pubblicità con frasi come "Против санкций всей страной" (trad. dal russo "Con tutto il paese contro le sanzioni"), "Дарим 10 акций бесплатно" ("Regaliamo 10 azioni gratis"), "Заработайте уже во время обучения" ("Guadagna già durante la formazione"), "Я дам вам 100 000 USD, если вы не станете миллионером за 6 месяцев" ("Ti darò 100.000 USD se non diventerai milionario in 6 mesi") ecc.

Per proteggere i dispositivi Android da programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

Il primo antivirus russo per Android
Oltre 140 milioni di download solo da Google Play
Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis