30 ottobre 2015
Le principali tendenze di ottobre
- Scoperto un pericoloso trojan che infetta i dispositivi mobili iOS
- Un successivo programma malevolo è penetrato nel catalogo Google Play
- Nuovi casi di introduzione dei trojan Android nei firmware
- La comparsa di nuovi trojan-banker
Numero di record per i programmi malevoli e indesiderati per SO Android nel database dei virus Dr.Web
Settembre 2015 | Ottobre 2015 | La dinamica |
14.033 | 15.135 | +7,85% |
La minaccia “mobile” del mese
All'inizio di ottobre gli specialisti della sicurezza informatica hanno scoperto un nuovo trojan progettato per il funzionamento sui dispositivi mobili sotto la gestione di iOS. Il nuovo malware, denominato secondo la classificazione Dr.Web l'IPhoneOS.Trojan.YiSpecter.2, veniva distribuito dai malintenzionati maggiormente tra gli abitanti di Cina e poteva essere scaricato sui dispositivi mobili con il pretesto di applicazioni innocue. In particolare, agli utenti che visitavano siti per adulti veniva offerto di installare un lettore multimediale per visualizzare filmati erotici, che disponeva in effetti delle funzionalità dichiarate però nascondeva dentro di sé anche un programma trojan. In quanto i malintenzionati utilizzavano il metodo aziendale di distribuzione di software che consente agli utenti di iOS di ottenere programmi raggirando la directory App Store, se l'utente accettava di installare IPhoneOS.Trojan.YiSpecter.2, il programma poteva installarsi sia sugli smartphone e sui tablet con la disponibilità di "jailbreak" che sui dispositivi con una versione di SO non modificata.
Il trojan IPhoneOS.Trojan.YiSpecter.2 dispone delle seguenti funzioni malevole:
- trasmette sul server remoto le informazioni circa il dispositivo mobile compromesso;
- installa moduli trojan supplementari per il suo funzionamento;
- su comando dal server di gestione è in grado di disinstallare programmi e sostituirli con delle copie falsificate;
- può mostrare pubblicità sullo schermo dei dispositivi iOS;
- se il trojan o i suoi componenti verranno rimossi dall'utente, uno dei moduli malevoli li installerà di nuovo.
Trojan su Google Play
Il mese scorso è stato registrato un altro caso di pubblicazione di un trojan Android nella directory delle applicazioni ufficiale Google Play. Il programma malevolo, aggiunto ai database dei virus Dr.Web come l'Android.PWS.3, era nascosto in un lettore audio apparentemente innocuo che consente di ascoltare brani musicali pubblicati nel social network "VKontakte". Dopo l'avvio questo trojan chiede all'utente che sospetta nulla il nome utente e la password del suo account, poi si autentica nel social network e fornisce in effetti l'accesso alla musica però allo stesso tempo, in un modo impercettibile alle vittime, trasmette ai pirati informatici le credenziali ottenute. Quindi l'Android.PWS.3 si connette al nodo remoto degli hacker, riceve una lista di vari gruppi nel social network "VKontakte" a cui aggiunge automaticamente le vittime aumentando in questo modo la valutazione e popolarità delle relative comunità online.
I trojan incorporati nei firmware
Quasi ogni mese gli analisti dei virus Doctor Web registrano nuovi casi di introduzione di varie applicazioni nocive nei firmware Android. L'ottobre scorso non è un'eccezione visto che un trojan preinstallato, ovvero l'Android.Cooee.1 è stato rilevato su alcuni dispositivi mobili. Questo programma pericoloso si trova nell'applicazione di avvio (la shell grafica di Android) e contiene una serie di moduli specializzati, progettati per la visualizzazione di pubblicità. Inoltre, il trojan può scaricare e avviare impercettibilmente sia pacchetti di pubblicità addizionali che altre applicazioni, compresi software dannosi. In particolare, tra i file scaricati è stato rilevato il trojan Android.DownLoader.225 studiato per scaricare di nascosto vari software.
Va notato che se gli utenti vittime del trojan rimuovono il programma di avvio che contiene l'Android.Cooee.1, l'operatività del dispositivo mobile infetto verrà disturbata e alla successiva accensione del dispositivo il sistema operativo non potrà caricarsi in modo normale. Quindi prima di provare a disinstallare il programma malevolo, è necessario installare qualsiasi delle versioni alternative del relativo software e nelle impostazioni del sistema indicarla come la shell predefinita.
I trojan-banker
Tra le app malevole per Android rilevate ad ottobre, come prima, ci sono molti trojan-banker ideati per rubare denaro da conti. Uno di essi è il programma Android.BankBot.80.origin distribuito dai malintenzionati con il pretesto del software legittimo di una grande banca russa. Dopo l'avvio sugli smartphone e sui tablet bersagli l'Android.BankBot.80.origin costringe l'utente a fornirgli i privilegi di amministratore sul dispositivo mobile, dopodiché invia a tutti i numeri trovati nella rubrica telefonica un messaggio sms del tipo "Ciao, votami al concorso http://******konkurs.ru/". Se l'utente visita questo falso sito web che sfrutta le informazioni di un concorso fotografico attualmente operativo, sui dispositivi delle potenziali vittime viene scaricata automaticamente una delle versioni del banker, rilevata dall'Antivirus Dr.Web per Android come l'Android.SmsBot.472.origin. Inoltre, ai proprietari dei dispositivi mobili per la partecipazione alla votazione sul sito viene offerto di installare un apposito software che in realtà è un'altra versione del programma Android.BankBot.80.origin.
Le caratteristiche di questo trojan:
- viene distribuito con il pretesto di un software legittimo, per esempio un'applicazione bancaria ufficiale o un programma per la partecipazione al concorso fotografico;
- costringe l'utente a fornirgli i privilegi di amministratore sul dispositivo mobile per cui visualizza di continuo una relativa richiesta ostacolando il normale utilizzo dello smartphone o del tablet;
- invia a tutti i numeri dalla rubrica un sms con un link del sito fraudolento da cui sui dispositivi delle potenziali vittime viene scaricata una versione di quest'applicazione malevola;
- può rubare soldi dalle schede dei cellulari, dalle carte di pagamento e dai conti in sistemi di pagamenti;
- attiva l'inoltro delle chiamate in arrivo e come risultato gli utenti vittime del trojan non possono ricevere chiamate.
Per maggiori informazioni sull'Android.BankBot.80.origin consultate questo materiale pubblicato sul nostro sito.
Numero di record per i trojan banker Android.BankBot nel database dei virus Dr.Web:
Settembre 2015 | Ottobre 2015 | La dinamica |
142 | 148 | +4,2% |
Numero di record per i trojan multifunzionali Android.SmsSend nel database dei virus Dr.Web:
Settembre 2015 | Ottobre 2015 | La dinamica |
520 | 550 | +5.8% |