Secondo le statistiche di rilevamento di Dr.Web per dispositivi mobili Android, a luglio 2023 gli utenti riscontravano i programmi trojan pubblicitari della famiglia Android.HiddenAds il 33,48% più spesso rispetto a giugno. Allo stesso tempo, i programmi trojan pubblicitari della famiglia Android.MobiDash venivano rilevati il 24,11% meno spesso. Rispetto al mese scorso, il numero di attacchi dei programmi trojan spia è diminuito del 2,81%. Contemporaneamente, l'attività dei trojan bancari è aumentata del 2,31%, e quella dei programmi ransomware della famiglia Android.Locker del 8,53%.

Nuove minacce informatiche sono state rilevate sullo store di app Google Play. Tra di esse sono un programma trojan tramite cui i malintenzionati cercavano di rubare criptovalute ai proprietari di dispostivi Android, e inoltre, le ennesime applicazioni malevole che abbonavano le vittime a servizi a pagamento.

PRINCIPALI TENDENZE DI LUGLIO

Crescita dell'attività dei programmi trojan pubblicitari Android.HiddenAds
Diminuita l'attività dei programmi trojan pubblicitari Android.MobiDash
Crescita dell'attività dei trojan bancari e delle applicazioni malevole spia
Nuove minacce informatiche su Google Play

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.3697: Programma trojan per la visualizzazione di pubblicità invadenti. I campioni di questa famiglia spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.
Android.Spy.5106: Programma trojan che rappresenta versioni alterate di mods non ufficiali dell'applicazione WhatsApp. È in grado di rubare il contenuto di notifiche, offrire l'installazione di programmi da fonti sconosciute, e durante l'utilizzo del programma di messaggistica, visualizzare finestre di dialogo con contenuto configurabile da remoto.
Android.Packed.57083: Rilevamento di applicazioni malevole protette dal software packer ApkProtector. Tra di esse possono essere i trojan bancari, gli spyware e altri software malevoli.
Android.Pandora.7
Android.Pandora.5: Rilevamento di applicazioni malevole che scaricano e installano il programma trojan backdoor Android.Pandora.2. I malintenzionati spesso incorporano tali programmi di download in applicazioni per Smart TV mirate agli utenti di lingua spagnola.

Program.FakeMoney.7
Program.FakeMoney.8: Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Simula l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Anche quando gli utenti riescono a farlo, non è possibile per loro ottenere i pagamenti.
Program.FakeAntiVirus.1: Rilevamento di programmi adware che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.
Program.SecretVideoRecorder.1.origin: Rilevamento di varie versioni di un'applicazione per la ripresa di foto e video in background attraverso le fotocamere integrate di dispositivi Android. Questo programma può funzionare impercettibilmente consentendo di disattivare le notifiche di registrazione, nonché cambiare con quelle false l'icona e la descrizione dell'app. Tali funzionalità lo rendono potenzialmente pericoloso.
Program.SnoopPhone.1.origin: Programma per il monitoraggio dei proprietari di dispositivi Android. Consente di leggere SMS, ottenere informazioni su chiamate, tracciare la posizione e registrare l'audio dell'ambiente circostante.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.6.origin: Piattaforme software potenzialmente pericolose che consentono ad applicazioni di avviare file APK senza installazione. Creano un ambiente di esecuzione virtuale che non influisce sul sistema operativo principale.
Tool.LuckyPatcher.1.origin: Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.
Tool.ApkProtector.16.origin: Rilevamento di applicazioni Android protette dal software packer ApkProtector. Questo packer non è malevolo, tuttavia, i malintenzionati possono utilizzarlo nella creazione di programmi trojan e indesiderati per renderne più difficile il rilevamento da parte degli antivirus.
Tool.Packer.3.origin: Rilevamento di programmi Android il codice dei quali è cifrato e offuscato dall'utility NP Manager.

Adware.Fictus.1.origin: Modulo adware che i malintenzionati incorporano in versioni clone di popolari giochi e programmi Android. Viene integrato in programmi tramite un packer specializzato net2share. Le copie di software create in questo modo vengono distribuite attraverso diversi store di app e dopo l'installazione visualizzano pubblicità indesiderate.
Adware.ShareInstall.1.origin: Modulo adware che può essere integrato in programmi Android. Visualizza notifiche pubblicitarie sulla schermata di blocco del sistema operativo Android.
Adware.Airpush.7.origin: Campione di una famiglia di moduli adware che vengono incorporati in applicazioni Android e visualizzano le più svariate pubblicità. A seconda della versione e variante, queste possono essere notifiche, finestre a comparsa o banner pubblicitari. Tramite questi moduli, i malintenzionati spesso distribuiscono programmi malevoli invitando a installare determinati software. Inoltre, tali moduli trasmettono al server remoto varie informazioni riservate.
Adware.MagicPush.3: Modulo adware che viene incorporato in applicazioni Android. Visualizza banner popup sopra l'interfaccia del sistema operativo quando questi programmi non sono in uso. Tali banner contengono informazioni fuorvianti. Il più delle volte, essi segnalano file sospetti presumibilmente rilevati, o parlano della necessità di bloccare messaggi spam od ottimizzare il consumo energetico del dispositivo. A questo scopo, all'utente viene suggerito di entrare nell'app corrispondente in cui è incorporato uno di questi moduli. All'apertura del programma l'utente vede annunci pubblicitari.
Adware.AdPush.39.origin: Modulo adware che può essere integrato in programmi Android. Visualizza notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questo modulo raccoglie una serie di dati riservati, ed è in grado di scaricare altre app e avviarne l'installazione.

Minacce su Google Play

A luglio 2023 il laboratorio dei virus dell'azienda Doctor Web ha individuato sullo store Google Play un programma trojan, Android.CoinSteal.105, progettato per il furto di criptovalute. I malintenzionati cercavano di spacciarlo per l'applicazione ufficiale dello scambio di criptovalute P2B, P2B official, distribuendolo sotto un nome simile — P2B Trade: Realize The P2Pb2b.

L'immagine seguente mostra uno screenshot del vero programma a sinistra e dell'applicazione trojan a destra.

Il falso programma veniva promosso da blogger a tema di criptovaluta, e di conseguenza, il numero delle sue installazioni si è rivelato il doppio di quello dell'originale.

All'avvio questo trojan apre in una WebView il sito del sistema di distribuzione del traffico impostato dai malintenzionati, dal quale viene effettuata una catena di reindirizzamenti verso altre risorse. Al momento, il trojan carica il sito ufficiale dello scambio di criptovalute https://p2pb2b.com, tuttavia, potrebbero essere siti di destinazione anche altri siti web — quelli fraudolenti, contenenti annunci pubblicitari ecc.

Dopo aver caricato il sito dello scambio di criptovalute, Android.CoinSteal.105 incorpora in esso script JS, attraverso cui sostituisce furtivamente gli indirizzi dei portafogli cripto inseriti dagli utenti per il prelievo delle criptovalute.

Oltre a ciò, i cybercriminali di nuovo distribuivano attraverso Google Play programmi malevoli che abbonavano i proprietari di dispositivi Android a servizi a pagamento. Uno di essi era il programma trojan Android.Harly.80, nascosto in un'app interattiva, Desktop Pets – Lulu, progettata per l'interazione con un animale da compagnia virtuale.

Altri appartenevano alla famiglia Android.Joker e sono stati aggiunti al database dei virus Dr.Web come Android.Joker.2170, Android.Joker.2171 e Android.Joker.2176. Il primo era incorporato in un programma chiamato Cool Charging Animation, progettato per visualizzare informazioni sulla ricarica della batteria sulla schermata di blocco. Il secondo si nascondeva nel programma Smart Counter, studiato per registrare le attività e tenere traccia delle buone e cattive abitudini. Il terzo veniva distribuito sotto le sembianze di una raccolta di immagini 4K HD Wallpaper per il cambio dello sfondo della schermata iniziale.

Per proteggere i dispositivi Android dai programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Indicatori di compromissione

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

Il primo antivirus russo per Android
Oltre 140 milioni di download solo da Google Play
Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis