Doctor Web: panoramica sull'attività di virus per dispositivi mobili a maggio 2018

31 maggio 2018

A maggio 2018 gli analisti di virus dell'azienda Doctor Web hanno trovato nella directory Google Play diverse applicazioni in cui era incorporato il trojan Android.Click.248.origin. Esso caricava sui dispositivi pagine web fraudolente su cui gli utenti venivano iscritti a servizi mobili costosi. Inoltre, su Google Play è stato rilevato il programma malevolo Android.FakeApp che veniva distribuito con le mentite spoglie di noti software. Cliccava sui link specificati dai malfattori e aumentava il contatore delle visite dei siti web. Tra le altre minacce riscontrate nella directory ufficiale delle applicazioni del sistema operativo Android, c'erano i trojan della famiglia Android.HiddenAds, progettati per la visualizzazione di annunci pubblicitari. Inoltre, il mese passato gli specialisti di sicurezza delle informazioni hanno rilevato i trojan Android.Spy.456.origin e Android.Spy.457.origin, utilizzati per lo spionaggio informatico dai malintenzionati. Alla fine di maggio al database dei virus Dr.Web è stato aggiunto un record per il rilevamento di una nuova versione del programma spyware commerciale Program.Onespy.

La minaccia mobile del mese

Il mese passato gli specialisti Doctor Web hanno rilevato nella directory Google Play il trojan Android.Click.248.origin che veniva distribuito dai malintenzionati come se fosse un noto programma come Skype e Alice (assistente vocale dell'azienda Yandex che non è disponibile come applicazione separata).

Il trojan caricava sui dispositivi siti web fraudolenti su cui gli utenti venivano iscritti a servizi mobili a pagamento. Doctor Web ha riferito delle simili applicazioni malevole ad aprile.

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.210.origin

Android.HiddenAds.222.origin

Trojan progettati per la visualizzazione di pubblicità invadenti. Vengono distribuiti sotto le mentite spoglie di applicazioni popolari tramite altri programmi malevoli che in alcuni casi li installano di nascosto nella directory di sistema.

Android.SmsSend.1338.origin

Un programma malevolo che invia SMS a numeri a pagamento.

Android.Mobifun.4

Un trojan progettato per il caricamento di altre applicazioni Android.

Android.Xiny.1403

Un trojan progettato per il download e l'installazione impercettibili di ulteriori applicazioni malevole.

Adware.Adtiming.1.origin

Adware.Jiubang.2

Adware.Adpush.601

Moduli software indesiderati che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiosa pubblicità sui dispositivi mobili.

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

Programma potenzialmente pericolosi studiati per avviare applicazioni di nascosto senza l'intervento dell'utente.

Minacce su Google Play

A maggio gli analisti Doctor Web hanno rilevato nella directory Google Play il trojan Android.FakeApp che veniva distribuito come se fosse un'applicazione popolare. Su comando degli autori di virus, il malware Android.FakeApp andava sui link da loro impostati aumentando il numero di visite sul sito.

Caratteristiche del trojan:

• è stato creato con l'utilizzo del servizio AppsGeyser che consente di assemblare in pochi passaggi semplici programmi Android;
• veniva distribuito sotto le mentite spoglie di note applicazioni;
• non conteneva funzioni utili;
• sono stati rivelati 7 sviluppatori in cui nome il trojan veniva distribuito su Google Play.

Un esempio di false applicazioni individuate su Google Play:

Inoltre, a maggio nella directory ufficiale dei software per il sistema operativo Android sono stati rilevati ulteriori esemplari della famiglia di trojan Android.HiddenAds, come ad esempio Android.HiddenAds.267.origin e Android.HiddenAds.277.origin. Questi programmi malevoli venivano distribuiti sotto l'apparenza di applicazioni innocue e ben note. La funzione principale dei trojan è la visualizzazione di annunci pubblicitari.

Spionaggio informatico

Il mese passato gli specialisti di sicurezza delle informazioni hanno rilevato diversi nuovi trojan Android che venivano utilizzati dai malintenzionati per lo spionaggio informatico. Uno di essi veniva distribuito attraverso Google Play ed è stato denominato Android.Spy.456.origin. Il programma malevolo rubava foto, messaggi SMS e contatti dalla rubrica dei dispositivi mobili infetti e caricava questi dati su un server remoto dei criminali informatici. Un altro trojan spyware mobile rilevato a maggio è stato aggiunto al database dei virus Dr.Web sotto il nome Android.Spy.457.origin. Rubava immagini e video archiviati nella memoria degli smartphone e tablet Android, ricavava SMS, seguiva le coordinate dei dispositivi mobili, e inoltre poteva ascoltare l'ambiente e registrare conversazioni telefoniche.

Alla fine del mese gli specialisti Doctor Web hanno scoperto una nuova versione del programma spione commerciale Onespy, denominata Program.Onespy.3.origin. Questa applicazione è in grado di intercettare messaggi SMS e telefonate, tracciare la posizione del dispositivo infetto, ascoltare l'ambiente, rubare foto, video, documenti e altri file, seguire la corrispondenza nei programmi di messaggistica popolari, come ad esempio Skype, Viber, WhatsApp, Line, Facebook e altri ancora, e inoltre di eseguire altre azioni pericolose.

Nonostante gli sforzi di Google, i malfattori riescono ancora a distribuire trojan Android attraverso la directory Google Play. Inoltre, i programmi malevoli e potenzialmente pericolosi per i dispositivi mobili restano in agguato anche al di fuori della directory ufficiale delle applicazioni. Per proteggere i vostri smartphone e tablet, vi consigliamo di installare i prodotti antivirus Dr.Web per Android.