Doctor Web: panoramica sulle attività dei virus per dispositivi mobili ad agosto 2017

31 agosto 2017

Ad agosto in Google Play è stato scoperto un grande numero di applicazioni malevole Android, tra cui i trojan che eseguivano attacchi DDoS. Altre applicazioni malevole caricavano in modo invisibile siti web indicati dai malfattori e facevano clic sui banner in autonomo, per cui gli autori dei virus ottenevano un reddito. Un ulteriore trojan Android, rilevato ad agosto in Google Play, mostrava falsi moduli di input sopra i programmi che venivano avviati e rubava login, password e altre informazioni confidenziali. Inoltre, l'ultimo mese estivo in Google Play è stato trovato un trojan dropper studiato per installare altre applicazioni malevole.

La minaccia mobile del mese

Ad agosto in Google Play sono stati rilevati diversi trojan della famiglia Android.Click. Due di essi sono stati denominati rispettivamente Android.Click.268 e Android.Click.274. Dopo l'avvio eseguivano impercettibilmente per l'utente attacchi DDoS ("Denial of service") ai siti web indicati dagli autori dei virus, aprendone diverse copie, e inoltre potevano inviare su comando un grande numero di pacchetti di rete sui server bersaglio. Come il risultato, gli utenti degli smartphone e dei tablet Android infetti, che avevano scaricato questi programmi, diventavano involontariamente complici in crimini informatici.

Un altro trojan, aggiunto al database dei virus Dr.Web come Android.Click.269, apriva in modo impercettibile siti web impostati nei comandi dei malfattori e cliccava i banner presenti. Quest'attività generava un reddito per gli autori dell'applicazione malevola. Inoltre, Android.Click.269 mostrava annunci quando veniva sbloccato lo schermo dei dispositivi Android infetti.

Tutti i trojan sopracitati erano incorporati in un software per la visualizzazione dei filmati dal servizio YouTube.

Le caratteristiche di Android.Click.268 e Android.Click.274:

• eseguono attacchi DDoS a siti, caricano impercettibilmente per l'utente 20 copie di una risorsa web specificata dai malintenzionati;
• possono eseguire attacchi DDoS ad host remoti attraverso il protocollo UDP, inviando 10.000.000 di pacchetti su una porta di server indicata nel comando.

Le caratteristiche di Android.Click.269:

• apre invisibilmente siti web indicati in un comando dei malfattori e fa clic in maniera automatica su banner pubblicitari, generando un reddito agli autori del trojan;
• mostra annunci quando viene sbloccato lo schermo del dispositivo mobile infetto.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.DownLoader.337.origin

Android.DownLoader.526.origin

Programmi trojan progettati per il download di altre applicazioni.

Android.CallPay.1.origin

Un programma malevolo che concede ai proprietari dei dispositivi Android l'accesso a materiali erotici, ma per pagare il "servizio", effettua impercettibilmente chiamate a numeri premium.

Android.HiddenAds.85.origin

Android.HiddenAds.83.origin

Trojan progettati per la visualizzazione di pubblicità invadenti. Vengono distribuiti con il pretesto di applicazioni popolari tramite altri programmi malevoli che in alcuni casi li installano di nascosto nella directory di sistema.

Adware.Jiubang.2

Adware.Fly2tech.2

Adware.SalmonAds.1.origin

Adware.Jiubang.1

Adware.Batmobi.4

Moduli software indesiderati che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiosa pubblicità sui dispositivi mobili.

Trojan in Google Play

L'ultimo mese estivo al database dei virus Dr.Web è stato aggiunto il trojan banker Android.BankBot.225.origin che veniva distribuito attraverso Google Play. Era nascosto all'interno di un'applicazione chiamata «Earn Real Money Gift Cards», studiata per ottenere buoni regalo monetari per l'installazione di programmi pubblicizzati.

Android.BankBot.225.origin monitora le applicazioni bancarie e altre e mostra sopra le loro finestre falsi moduli di immissione delle informazioni confidenziali. Inoltre, su comando degli autori dei virus può scaricare sui dispositivi infetti altri software che quindi cerca di installare.

Un altro trojan, rilevato ad agosto in Google Play, è stato inserito nel database Dr.Web come Android.MulDrop.1067. Era nascosto in un gioco con il nome «Bubble Shooter Wild Life». Ad ogni avvio questo programma malevolo chiede l'autorizzazione per visualizzare gli elementi di interfaccia sopra le altre applicazioni.

Qualche tempo dopo l'avvio cerca di ottenere l'accesso alle funzioni di accessibilità (Accessibility Service), visualizzando una relativa notifica. Se il proprietario del dispositivo concede al trojan le autorizzazioni richieste, Android.MulDrop.1067 può installare in autonomo altre applicazioni Android, facendo clic in automatico nelle finestre di dialogo e confermando tutte le azioni. Il trojan verifica la presenza sulla scheda di memoria di un file apk che esso deve installare, però la versione corrente di Android.MulDrop.1067 non contiene alcuni file nascosti e non dispone della funzione di download di file da Internet. Ciò può indicare che il trojan è ancora in fase di sviluppo.

Gli autori dei virus con tutti i mezzi cercano di distribuire i trojan Android attraverso la directory delle applicazioni Google Play. Per aumentare la probabilità di infezione dei dispositivi mobili, loro integrano programmi malevoli in applicazioni con complete funzionalità e utilizzano diversi meccanismi per raggirare il controllo di sicurezza dimodoché i trojan rimangano inosservati il più a lungo possibile. Per proteggere gli smartphone e i tablet con SO Android, gli utenti dovrebbero installare i prodotti antivirus Dr.Web che sono in grado di combattere le minacce Android più recenti.