Secondo le statistiche dei rilevamenti tramite i prodotti antivirus Dr.Web per Android, a settembre rispetto ad agosto è stato registrato sui dispositivi protetti il 3,75% di minacce in più. Rispetto al mese scorso, il numero di programmi malevoli rilevati è aumentato del 5,58%, e quello di programmi potenzialmente pericolosi del 4,98%. Il numero di applicazioni pubblicitarie e indesiderate è diminuito rispettivamente del 6,22% e del 8,83%.

Durante settembre gli analisti di virus Doctor Web hanno rilevato su Google Play diverse nuove app malevole. Tra di esse c'erano campioni della pericolosa famiglia di trojan Android.Joker che sono in grado di eseguire codice arbitrario e abbonare le vittime a servizi a pagamento. Inoltre, i malintenzionati distribuivano un trojan clicker, Android.Click.978, che visualizzava annunci, nonché un trojan multifunzionale, Android.Triada.545.origin che, tra le altre cose, veniva utilizzato per il phishing.

LE PRINCIPALI TENDENZE DI SETTEMBRE

Aumento del totale minacce rilevate sui dispositivi Android
Diffusione delle minacce nello store Google Play

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.530.origin: Un trojan progettato per la visualizzazione di pubblicità invadenti. Viene distribuito con il pretesto di applicazioni popolari tramite altri programmi malevoli che in alcuni casi lo installano di nascosto nella directory di sistema.
Android.Triada.541.origin: Un trojan multifunzionale che esegue una varietà di azioni malevole. Appartiene a una famiglia di applicazioni trojan che si infiltrano nei processi di tutti i programmi in esecuzione. Alcune versioni di questa famiglia sono riscontrabili nel firmware di dispositivi Android in cui i malintenzionati le incorporano in fase di produzione.
Android.RemoteCode.6122: Un programma malevolo che carica ed esegue codice arbitrario. A seconda della variante, può anche caricare vari siti web, cliccare su link e banner pubblicitari, iscrivere gli utenti a servizi a pagamento ed eseguire altre operazioni.
Android.Click.348.origin: Un'app malevola che carica in autonomo siti web e clicca su banner pubblicitari e link presenti. Può diffondersi sotto le mentite spoglie di programmi innocui senza destare sospetti nell'utente.
Android.DownLoader.1001.origin: Un trojan che carica altri programmi malevoli e software inutili. Può nascondersi in applicazioni apparentemente innocue che vengono distribuite attraverso Google Play o su siti malevoli.

Program.FreeAndroidSpy.1.origin
Program.Reptilicus.7.origin
Program.MobileTool.2.origin: Applicazioni che monitorano i proprietari di dispositivi Android e possono essere utilizzati per il cyberspionaggio. Sono in grado di controllare la posizione dei dispositivi, raccogliere dati sulla corrispondenza SMS, sulle conversazioni sui social network, copiare documenti, foto e video, intercettare telefonate e l'ambiente ecc.
Program.FakeAntiVirus.2.origin: Rilevamento di programmi adware che imitano il funzionamento dei software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.
Program.CreditSpy.2: Rilevamento di programmi studiati per valutare il merito creditizio sulla base dei dati personali degli utenti. Tali applicazioni caricano sul server remoto messaggi SMS, informazioni sui contatti dalla rubrica, la cronologia delle chiamate e altre informazioni.

Tool.SilentInstaller.6.origin
Tool.SilentInstaller.11.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.14.origin: Piattaforme software potenzialmente pericolose che consentono alle applicazioni di eseguire i file apk senza installazione. Creano un ambiente di esecuzione virtuale che non influisce sul sistema operativo principale.
Tool.ApkProtector.6.origin: Rilevamento di applicazioni Android protette dal software packer ApkProtector. Questo packer non è malevolo, tuttavia, i malintenzionati possono utilizzarlo alla creazione dei programmi trojan e indesiderati per renderne più difficile il rilevamento da parte degli antivirus.

Moduli software che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiose pubblicità su dispositivi mobili. A seconda della famiglia e della versione, sono in grado di mostrare annunci in modalità a schermo intero bloccando le finestre delle altre applicazioni, visualizzare varie notifiche, creare scorciatoie e caricare siti web.

Adware.Adpush.36.origin
Adware.Adpush.6547
Adware.Myteam.2.origin
Adware.Toofan.1.origin
Adware.Mobby.5.origin

Minacce su Google Play

A settembre nello store Google Play sono state rilevate diverse varianti dei trojan della famiglia Android.Joker, una di cui si propagava con il pretesto di un editor grafico ed è stata chiamata Android.Joker.341. Come gli altri campioni di questa famiglia, questo programma malevolo scaricava ed eseguiva codice arbitrario e anche poteva iscrivere gli utenti a servizi a pagamento ottenendo i codici di conferma dalle notifiche in arrivo.

A seconda dell'architettura della cpu utilizzata nel dispositivo infetto, all'avvio il trojan carica in memoria una delle librerie native nascoste nel suo file apk (l'antivirus Dr.Web le rileva come Android.Joker.339 e Android.Joker.340).

A sua volta, la libreria caricata estrae da sé un modulo malevolo, Android.Joker.177.origin, il quale scarica dal server remoto il modulo Android.Joker.192.origin. Quest'ultimo ottiene l'accesso al contenuto delle notifiche e scarica dal server un altro modulo — Android.Joker.107.origin. Esso contiene le funzionalità malevole principali.

Successivamente gli analisti Doctor Web hanno rilevato un trojan simile che veniva distribuito dai malintenzionati con il pretesto di una raccolta di immagini. È stato aggiunto al database dei virus Dr.Web come Android.Joker.344.

Un'altra minaccia era un trojan multifunzionale, Android.Triada.545.origin, che appartiene alla famiglia di pericolosi programmi malevoli Android.Triada. Era nascosto in un'app fotocamera.

Una delle funzionalità di Android.Triada.545.origin è il phishing. All'avvio il trojan visualizza una falsa finestra di autenticazione nei servizi Google. In essa viene offerto alle vittime di inserire le credenziali di accesso al loro account — questo sarebbe necessario per continuare a utilizzare l'app. Per confondere ulteriormente gli utenti, nella finestra inoltre si tratta di un'opportunità di partecipare all'estrazione di un nuovo telefono dopo l'accesso all'account. Tuttavia, tutto questo è solo un trucco, e i dati inseriti vengono trasmessi ai malintenzionati.

Oltre a ciò, Android.Triada.545.origin è in grado di caricare ed eseguire codice arbitrario, nonché intercettare notifiche e rubare informazioni da esse — ad esempio, codici pin.

Un'altra minaccia Android rilevata a settembre su Google Play era un trojan clicker, Android.Click.978, che si diffondeva sotto le mentite spoglie di un'app con profezie. Dopo l'avvio nascondeva la sua icona dalla lista delle app nel menu della schermata principale del dispositivo e iniziava a visualizzare annunci che si vedevano persino dopo la chiusura di Android.Click.978. Il trojan caricava inoltre siti e cliccava automaticamente sui link e banner in essi collocati.

Per proteggere i dispositivi Android da programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

Il primo antivirus russo per Android
Oltre 140 milioni di download solo da Google Play
Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis