Secondo le statistiche di rilevamento di Dr.Web per dispositivi mobili Android, ad aprile 2023 gli utenti riscontravano i programmi trojan pubblicitari della famiglia Android.HiddenAds il 16,13% meno spesso, e i campioni della famiglia Android.MobiDash il 40,42% più spesso, rispetto a marzo. Questo tipo di applicazioni malevole rimane uno dei più diffusi per la piattaforma Android.

L'attività dei programmi trojan spia è diminuita del 27,89%. Sui dispositivi protetti venivano rilevate predominantemente le diverse varianti di un trojan spia (tra cui Android.Spy.5106 e Android.Spy.4498), nascosto in alcune mods non ufficiali del programma di messaggistica istantanea WhatsApp.

Rispetto a marzo, il numero di attacchi dei programmi trojan bancari è cresciuto del 32,38%, e quello delle applicazioni malevole ransomware Android.Locker del 14,83%.

Durante il mese di aprile, gli analisti di virus dell'azienda Doctor Web hanno rilevato sullo store di app Google Play ulteriori applicazioni malevole falsificazioni dalla famiglia Android.FakeApp, che venivano impiegate dai malintenzionati in vari schemi di frode. Oltre a ciò, i cybercriminali distribuivano attraverso Google Play un programma trojan dalla famiglia Android.Joker — esso abbonava le vittime a servizi a pagamento.

PRINCIPALI TENDENZE DI APRILE

Crescita dell'attività dei programmi trojan pubblicitari Android.MobiDash
Diminuita l'attività dei programmi trojan pubblicitari Android.HiddenAds
In aumento l'attività delle applicazioni trojan bancarie e dei programmi ransomware
Comparsa di nuove minacce informatiche sullo store di app Google Play

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.Spy.5106: Programma trojan che rappresenta versioni alterate di mods non ufficiali dell'applicazione WhatsApp. È in grado di rubare il contenuto di notifiche, offrire l'installazione di programmi da fonti sconosciute, e durante l'utilizzo del programma di messaggistica, visualizzare finestre di dialogo con contenuto configurabile da remoto.
Android.MobiDash.7783: Programma trojan che visualizza annunci pubblicitari invadenti. È un modulo software che gli sviluppatori software incorporano nelle applicazioni.
Android.Packed.57083: Rilevamento di applicazioni malevole protette dal software packer ApkProtector. Tra di esse possono essere i trojan bancari, gli spyware e altri software malevoli.
Android.HiddenAds.3597
Android.HiddenAds.3558: Programmi trojan per la visualizzazione di pubblicità invadenti. I campioni di questa famiglia spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.

Program.FakeMoney.7
Program.FakeMoney.8: Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Simula l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Anche quando gli utenti riescono a farlo, non è possibile per loro ottenere i pagamenti.
Program.FakeAntiVirus.1: Rilevamento di programmi adware che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.
Program.wSpy.1.origin: Programma spia commerciale per il monitoraggio nascosto dei proprietari di dispositivi Android. Consente ai malintenzionati di leggere la corrispondenza (messaggi in popolari programmi di messaggistica istantanea ed SMS), ascoltare l'ambiente, tracciare la posizione del dispositivo, monitorare la cronologia del browser, ottenere l'accesso alla rubrica e ai contatti, alle fotografie e ai video, fare screenshot e scattare fotografie con la fotocamera del dispositivo, nonché ha la funzionalità keylogger.
Program.SecretVideoRecorder.1.origin: Rilevamento di varie versioni di un'applicazione per la ripresa di foto e video in background attraverso le fotocamere integrate di dispositivi Android. Questo programma può funzionare impercettibilmente consentendo di disattivare le notifiche di ripresa, nonché cambiare con quelle false l'icona e la descrizione dell'app. Tali funzionalità lo rendono potenzialmente pericoloso.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.6.origin: Piattaforme software potenzialmente pericolose che consentono ad applicazioni di avviare file APK senza installazione. Creano un ambiente di esecuzione virtuale che non influisce sul sistema operativo principale.
Tool.LuckyPatcher.1.origin: Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.

Adware.MagicPush.1
Adware.MagicPush.3: Moduli adware che vengono incorporati in applicazioni Android. Visualizzano banner popup sopra l'interfaccia del sistema operativo quando questi programmi non sono in uso. Tali banner contengono informazioni fuorvianti. Il più delle volte, essi segnalano file sospetti presumibilmente rilevati, o parlano della necessità di bloccare messaggi spam od ottimizzare il consumo energetico del dispositivo. A questo scopo, all'utente viene suggerito di entrare nell'app corrispondente in cui è incorporato uno di questi moduli. All'apertura del programma l'utente vede annunci pubblicitari.
Adware.AdPush.36.origin: Modulo adware che può essere integrato in programmi Android. Visualizza notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questo modulo raccoglie una serie di dati riservati, ed è in grado di scaricare altre app e avviarne l'installazione.
Adware.Airpush.7.origin: Campione di una famiglia di moduli adware che vengono incorporati in applicazioni Android e visualizzano le più svariate pubblicità. A seconda della versione e variante, queste possono essere notifiche, finestre a comparsa o banner pubblicitari. Tramite questi moduli, i malintenzionati spesso distribuiscono programmi malevoli invitando a installare determinati software. Inoltre, tali moduli trasmettono al server remoto varie informazioni riservate.
Adware.Youmi.4: Rilevamento di un modulo adware indesiderato che colloca scorciatoie pubblicitarie sulla schermata iniziale di dispostivi Android.

Minacce su Google Play

Ad aprile 2023 gli analisti di virus dell'azienda Doctor Web hanno rilevato sullo store di app Google Play oltre 30 programmi malevoli della famiglia Android.FakeApp. Una parte di essi (Android.FakeApp.1320, Android.FakeApp.1329, Android.FakeApp.1331, Android.FakeApp.1336, Android.FakeApp.1340, Android.FakeApp.1347 e altri) veniva distribuita sotto l'apparenza di applicazioni a tema finanziario. Ad esempio, varie guide e tutorial sull'investimento, strumenti per il trading, programmi per la partecipazione a sondaggi ecc. La loro vera funzione però era quella di caricare siti web fraudolenti attraverso cui i malintenzionati cercavano di ottenere dalle potenziali vittime dati personali o rubarne denaro.

Altri programmi di questo tipo venivano distribuiti con il pretesto di giochi, ad esempio: Android.FakeApp.1322, Android.FakeApp.1326, Android.FakeApp.1330, Android.FakeApp.1334, Android.FakeApp.1337 e Android.FakeApp.26.origin. Invece delle funzionalità che ci si aspettavano, potevano caricare siti di casinò online.

Esempi del loro duplice comportamento sono presentati di seguito. Nel primo caso, in essi sono disponibili le funzionalità di gioco, nel secondo, vengono caricati i siti di destinazione.

Oltre a ciò, i nostri specialisti hanno rilevato ulteriori programmi fraudolenti che i malintenzionati spacciavano per strumenti per la ricerca di offerte di lavoro. Questi campioni della famiglia Android.FakeApp, aggiunti al database dei virus Dr.Web come Android.FakeApp.1324 e Android.FakeApp.1307, invitavano gli utenti a indicare dati personali in un apposito modulo o contattare i "datori di lavoro" tramite le app di messaggistica.

Inoltre, i malintenzionati distribuivano attraverso Google Play un programma malevolo Android.Joker.2106, che abbonava le vittime a servizi a pagamento. Era nascosto in un'app per la creazione e gestione di firme.

Per proteggere i dispositivi Android da programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Indicatori di compromissione

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

Il primo antivirus russo per Android
Oltre 140 milioni di download solo da Google Play
Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis