Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: panoramica sull'attività di virus per dispositivi mobili a febbraio 2021

16 marzo 2021

A febbraio i prodotti antivirus Dr.Web per Android più spesso rilevavano sui dispositivi protetti programmi malevoli e indesiderati che visualizzano annunci invadenti, nonché trojan che eseguono codice arbitrario e caricano diverse applicazioni all'insaputa degli utenti.

Nel corso del mese passato, gli analisti di virus dell'azienda Doctor Web di nuovo hanno rilevato numerose minacce sullo store di app Google Play. In particolare, erano tra di esse numerose applicazioni fraudolente appartenenti alla famiglia Android.FakeApp, alcuni trojan multifunzionali Android.Joker, applicazioni malevole della famiglia Android.HiddenAds che sono progettate per visualizzare pubblicità, nonché altri programmi pericolosi.

LE PRINCIPALI TENDENZE DI FEBBRAIO

  • Comparsa di nuove minacce sullo store di app Google Play
  • Attività di applicazioni Android malevole utilizzate in vari schemi di frode

Secondo i dati dei prodotti antivirus Dr.Web per Android

Secondo i dati dei prodotti antivirus Dr.Web per Android #drweb

Android.HiddenAds.1994
Un trojan progettato per la visualizzazione di pubblicità invadenti. Viene distribuito con il pretesto di applicazioni popolari tramite altri programmi malevoli che in alcuni casi lo installano di nascosto nella directory di sistema.
Android.RemoteCode.284.origin
Un programma malevolo che carica ed esegue codice arbitrario. A seconda della variante, può anche caricare vari siti web, cliccare su link e banner pubblicitari, iscrivere gli utenti a servizi a pagamento ed eseguire altre operazioni.
Android.Triada.510.origin
Un trojan multifunzionale che esegue una varietà di azioni malevole. Appartiene a una famiglia di applicazioni trojan che si infiltrano nei processi di tutti i programmi in esecuzione. Diversi campioni di questa famiglia sono riscontrabili nel firmware di dispositivi Android in cui i malintenzionati li incorporano in fase di produzione. Inoltre, alcune loro varianti possono sfruttare vulnerabilità per ottenere l'accesso ai file e alle directory protetti del sistema.
Android.Click.348.origin
Un'app malevola che carica in autonomo siti web e clicca su banner pubblicitari e link presenti. Può diffondersi sotto le mentite spoglie di programmi innocui senza destare sospetti nell'utente.
Android.MobiDash.5135
Un programma trojan che visualizza annunci invadenti. È un modulo software che gli sviluppatori software incorporano nelle applicazioni.

Secondo i dati dei prodotti antivirus Dr.Web per Android #drweb

Program.FreeAndroidSpy.1.origin
Program.Mrecorder.1.origin
Applicazioni che monitorano i proprietari di dispositivi Android e possono essere utilizzati per il cyberspionaggio. Sono in grado di controllare la posizione dei dispositivi, raccogliere dati circa la corrispondenza SMS, conversazioni sui social network, copiare documenti, foto e video, ascoltare telefonate e l'ambiente ecc.
Program.FakeAntiVirus.2.origin
Rilevamento di programmi adware che imitano il funzionamento dei software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.
Program.CreditSpy.2
Rilevamento di programmi studiati per assegnare il rating bancario sulla base dei dati personali degli utenti. Tali applicazioni caricano sul server remoto messaggi SMS, informazioni sui contatti dalla rubrica, la cronologia delle chiamate e altre informazioni.
Program.Gemius.1.origin
Programma che raccoglie informazioni sui dispositivi mobili Android e su quello come vengono utilizzati dai loro proprietari. Insieme ai dati tecnici, raccoglie informazioni riservate: posizione del dispositivo, segnalibri salvati nel browser, cronologia dei siti visitati, nonché indirizzi internet inseriti.

Secondo i dati dei prodotti antivirus Dr.Web per Android #drweb

Tool.SilentInstaller.6.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.14.origin
Piattaforme software potenzialmente pericolose che consentono alle applicazioni di eseguire i file apk senza installazione. Creano un ambiente di esecuzione virtuale che non influisce sul sistema operativo principale.
Tool.Obfuscapk.1
Rilevamento di applicazioni protette tramite l'utility di offuscamento Obfuscapk. Questa utility viene utilizzata per la modifica e complicazione automatica del codice sorgente delle applicazioni Android per renderne più difficile il reverse engineering. I malintenzionati la impiegano per proteggere i programmi malevoli e altri programmi pericolosi dal rilevamento tramite gli antivirus.

Secondo i dati dei prodotti antivirus Dr.Web per Android #drweb

Moduli software che vengono incorporati in applicazioni Android e sono studiati per mostrare fastidiose pubblicità su dispositivi mobili. A seconda della famiglia e della versione, sono in grado di mostrare annunci in modalità a schermo intero bloccando le finestre delle altre applicazioni, visualizzare varie notifiche, creare scorciatoie e caricare siti web.

Adware.Adpush.36.origin
Adware.Adpush.6547
Adware.Myteam.2.origin
Adware.Overlay.1.origin
Adware.LeadBolt.12.origin

Minacce su Google Play

Nel corso di febbraio gli specialisti dell'azienda Doctor Web registravano la diffusione di un grande numero di applicazioni malevole della famiglia Android.FakeApp, molte di cui venivano impiegate dai malintenzionati in schemi di frode. Uno dei gruppi di tali trojan veniva distribuito con il pretesto di programmi che sarebbero progettati per fornire accesso a sconti, coupon e buoni promozionali, nonché omaggi da noti negozi e aziende. Per farli sembrare più convincenti, nei programmi venivano utilizzati i logo e nomi dei relativi marchi: produttori di elettrodomestici, distributori di carburanti e catene di negozi.

screen Android.FakeApp.239

Quando vengono avviati tali programmi, alle potenziali vittime viene chiesto di pagare un abbonamento da 449 a 1499 rubli alla settimana — questo sarebbe necessario per usufruire di tutte le funzionalità delle app e ottenere i buoni promessi. Tuttavia, loro ricevevano solo codici a barre e QR inutilizzabili, che erano uguali per ogni trojan, nonché una promessa di ulteriori codici che arriveranno sotto forma di notifiche. Va notato che solo alcune varianti di questi programmi avevano le funzionalità per la gestione di notifiche, una cosa che di per sé metteva in dubbio l'onestà degli sviluppatori.

Se l'utente del dispositivo Android acconsentiva al pagamento dei servizi in-app, gli veniva concesso un periodo di prova di 3 giorni durante il quale poteva rifiutare il pagamento o confermare l'abbonamento. Il calcolo dei malintenzionati in questo schema era quello che gli utenti si scorderanno del periodo di prova o persino di aver installato questi programmi, o, a causa di inesperienza, non capiranno che si sono abbonati a un costoso servizio con un pagamento periodico.

Diverse varianti dei trojan sopraccitati sono state aggiunte al database dei virus Dr.Web come Android.FakeApp.239, Android.FakeApp.240, Android.FakeApp.246 e Android.FakeApp.247. Un esempio di funzionamento di alcune di esse è mostrato sulle immagini sotto:

screen Android.FakeApp.239 screen Android.FakeApp.239 screen Android.FakeApp.239
screen Android.FakeApp.239 screen Android.FakeApp.239 screen Android.FakeApp.239

Messaggi ed esempi di codici che i trojan visualizzavano dopo l'abbonamento riuscito a un servizio costoso:

screen Android.FakeApp.239 screen Android.FakeApp.239

Nel secondo gruppo di falsi programmi della famiglia Android.FakeApp rientrano applicazioni che i malintenzionati spacciavano per programmi innocui di vari argomenti. Tra di essi erano prontuari di moda, animali, natura, oroscopi vari. Le loro funzionalità non corrispondevano a quelle dichiarate, e si occupavano solo di caricare vari siti di incontri, nonché siti palesemente fraudolenti. Questi programmi venivano attivamente pubblicizzati attraverso la rete pubblicitaria del servizio video YouTube, e nei filmati e banner venivano utilizzati in modo aggressivo argomenti di categoria "per adulti", nonché di incontri e dating. In totale, gli specialisti Doctor Web hanno rilevato più di 20 varianti di tali falsi programmi.

Esempi di applicazioni trojan Android.FakeApp collocate sullo store Google Play ed esempi di annunci malevoli che le pubblicizzano sono presentati di seguito:

screen Android.FakeApp.235 screen Android.FakeApp.235 screen Android.FakeApp screen Android.FakeApp
screen Android.FakeApp.237 screen Android.FakeApp.237 screen Android.FakeApp.238 screen Android.FakeApp.238
screen Android.FakeApp.234 screen Android.FakeApp.234 screen Android.FakeApp.229 screen Android.FakeApp.229

Esempi di siti che caricavano questi programmi:

screen Android.FakeApp screen Android.FakeApp screen Android.FakeApp screen Android.FakeApp

Il terzo gruppo di programmi malevoli della famiglia Android.FakeApp è rappresentato da nuove varianti di trojan fraudolenti che venivano distribuiti con il pretesto di software con informazioni su varie compensazioni pecuniarie, agevolazioni e bonus. Erano nuove varianti delle applicazioni malevole conosciute Android.FakeApp.219 e Android.FakeApp.227.

screen Android.FakeApp.219
screen Android.FakeApp.219
screen Android.FakeApp.219
screen Android.FakeApp.227

Come alcuni altri programmi malevoli falsi di questa famiglia, anch'essi venivano pubblicizzati attraverso YouTube:

screen Android.FakeApp.219 screen Android.FakeApp.219
screen Android.FakeApp.219 screen Android.FakeApp.219

Una volta avviati, i trojan caricavano siti fraudolenti su cui sarebbe possibile trovare informazioni su bonus disponibili. Agli utenti fuorviati veniva chiesto di indicare informazioni riservate e pagare il costo del "bonifico" sul loro conto bancario oppure il "bollo". In realtà, loro non ricevevano alcun bonus e solo trasferivano denaro e dati personali ai truffatori.

Inoltre, gli analisti di virus dell'azienda Doctor Web hanno rilevato diversi nuovi trojan multifunzionali della famiglia Android.Joker. Come altre applicazioni malevole di questa famiglia, essi venivano distribuiti sotto le mentite spoglie di programmi utili: un editor di immagini, uno scanner di codici a barre, un programma per la creazione di documenti PDF, una raccolta di sticker per programmi di messaggistica istantanea, sfondi animati per il desktop e altre applicazioni. I trojan sono stati aggiunti al database dei virus Dr.Web come Android.Joker.580, Android.Joker.585, Android.Joker.586, Android.Joker.592, Android.Joker.595, Android.Joker.598 e Android.Joker.604.

screen Android.Joker.580 screen Android.Joker.585
screen Android.Joker.586 screen Android.Joker.598
screen Android.Joker.604 screen Android.Joker.592

Le loro funzionalità principali sono quelle di caricare ed eseguire codice arbitrario, nonché abbonare automaticamente gli utenti a costosi servizi mobili.

Inoltre, su Google Play sono stati rilevati nuovi trojan pubblicitari della famiglia Android.HiddenAds chiamati Android.HiddenAds.610.origin e Android.HiddenAds.2357. Il primo veniva distribuito con il pretesto di un programma con una raccolta di immagini, il secondo con il pretesto di un programma per la modifica di immagini.

screen Android.HiddenAds.610.origin screen Android.HiddenAds.2357

Dopo l'avvio nascondevano le loro icone dalla lista dei programmi installati nel menu della schermata principale dei dispositivi Android e cominciavano a visualizzare la pubblicità. Android.HiddenAds.610.origin riceveva comandi attraverso il servizio cloud Firebase ed era in grado di visualizzare notifiche con annunci e caricare diversi siti web. Tra questi siti c'erano sia quelli con pubblicità sia quelli inattendibili e persino fraudolenti.

Per proteggere i dispositivi Android da programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Dr.Web Mobile Security

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

  • Il primo antivirus russo per Android
  • Oltre 140 milioni di download solo da Google Play
  • Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A