Doctor Web: panoramica sulle attività dei virus per dispositivi mobili a novembre 2017

30 novembre 2017

A novembre nella directory Google Play sono state trovate diverse applicazioni malevole.

All'inizio del mese ci è stato rilevato un trojan miner che sfruttava le capacità di calcolo dei dispositivi mobili per l'estrazione di una criptovaluta. In seguito gli specialisti della sicurezza informatica hanno rilevato trojan di invio di SMS che iscrivevano gli utenti a servizi a pagamento. A metà novembre gli analisti di virus Doctor Web hanno scoperto un programma malevolo che scaricava e lanciava ulteriori moduli trojan. Questi moduli caricavano siti web e cliccavano sui link e banner pubblicitari in essi locati. Inoltre, su Google Play si diffondeva un trojan progettato per il download di varie applicazioni. Oltre a ciò, nella directory delle applicazioni sono stati trovati banker Android che ottenevano informazioni confidenziali degli utenti e rubavano denaro dai loro conti bancari.

La minaccia mobile del mese

A novembre gli analisti di virus Doctor Web hanno individuato nella directory Google Play 9 programmi in cui era incorporato il trojan Android.RemoteCode.106.origin. In totale questi programmi sono stati scaricati almeno 2.370.000 volte. Dopo l'avvio Android.RemoteCode.106.origin scarica e lancia ulteriori moduli malevoli. Questi ultimi vengono utilizzati per aprire in automatico pagine web definite dal server di gestione e per cliccare sui banner e link pubblicizzati. Maggiori informazioni su Android.RemoteCode.106.origin sono ritrovabili in una pubblicazione sul sito Doctor Web.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.238

Trojan progettati per la visualizzazione di pubblicità invadenti.

Android.Triada.63

Android.Triada.152

Un membro della famiglia di trojan che eseguono una varietà di azioni malevole.

Android.DownLoader.653.origin

Un trojan che carica altri programmi malevoli.

Android.Click.171.origin

Un trojan che si connette ad intervalli regolari a siti web impostati e può essere utilizzato per aumentare la popolarità di siti e inoltre per cliccare link pubblicitari.

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Adviator.6.origin

Adware.Airpush.31.origin

Adware.SalmonAds.1.origin

Moduli software indesiderati che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiosa pubblicità sui dispositivi mobili.

Un trojan miner

All'inizio di novembre in Google Play è stato rilevato il trojan Android.CoinMine.3 che sfruttava le capacità di calcolo degli smartphone e dei tablet Android per estrarre la criptovaluta Monero. Questo programma malevolo era nascosto nell'applicazione con il nome XCOOEEP, studiata per l'accesso alla chat online Club Cooee.

Android.CoinMine.3 caricava in una finestra invisibile WebView un sito web con uno script per il mining integrato che si avviava in automatico. A causa del funzionamento intenso del processore durante l'estrazione della criptovaluta, le prestazioni del dispositivo mobile infetto potevano calare, il dispositivo poteva riscaldarsi e la sua batteria poteva scaricarsi più velocemente.

Trojan di invio di SMS

Tra le applicazioni malevole rilevate il mese scorso su Google Play ci sono alcuni trojan di invio di SMS. Erano integrati nelle applicazioni Secret Notepad, Delicate Keyblard e Super Emotion, che Dr.Web rileva come Android.SmsSend.23371, Android.SmsSend.23373 e Android.SmsSend.23374. Questi programmi malevoli cercavano di inviare costosi SMS e di iscrivere il numero di abbonato del proprietario del dispositivo infetto a servizi non richiesti.

Un trojan downloader

A novembre nella directory Google Play sono state scoperte nuove varianti del trojan Android.DownLoader.658.origin, un programma che su comando del server di controllo offre ai proprietari di dispositivi mobili di scaricare e installare varie applicazioni. Inoltre, è in grado di scaricare software in autonomo. Caratteristiche di Android.DownLoader.658.origin:

• è integrato in applicazioni innocue;
• attiva le funzionalità dannose solo nel caso di soddisfazione di una serie di condizioni (per esempio, se non è avviato in un programma di emulazione o sul dispositivo mobile sono disattivate le funzioni per gli sviluppatori);
• può visualizzare notifiche in cui offre di scaricare e installare qualche software;
• per proteggere il trojan dal rilevamento e dall'analisi, i suoi autori utilizzano uno specifico packer che l'antivirus Dr.Web rileva come Android.Packed.1.

Trojan banker

Il mese scorso nella directory Google Play è stato rilevato il trojan Android.Banker.202.origin nascosto in applicazioni innocue. Dopo l'avvio estraeva dalle sue risorse di file il programma malevolo Android.Banker.1426 e lo eseguiva. Questo trojan scaricava dal server di gestione uno dei banker Android della famiglia Android.BankBot, un programma progettato per il furto delle credenziali e di altre informazioni confidenziali.

Uno schema simile veniva utilizzato in una serie di trojan della famiglia Android.Banker, anche rilevati su Google Play a novembre. Estraevano ed eseguivano un componente malevolo nascosto all'interno di essi, il quale a sua volta estraeva dalle sue risorse di file un altro componente trojan e lo eseguiva. Quest'ultimo, a sua volta, scaricava dal centro remoto uno dei trojan bancari e cercava di installarlo.

Il rilevamento di un numero elevato di applicazioni malevole nella directory Google Play indica che i malfattori continuano a trovare modi per raggirare i suoi meccanismi di protezione. Per proteggere i dispositivi mobili dai trojan e da altri programmi indesiderati, i proprietari di smartphone e tablet Android dovrebbero installare i prodotti antivirus Dr.Web per Android.