La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: panoramica sull'attività di virus per dispositivi mobili a novembre 2023

21 dicembre 2023

Secondo le statistiche di rilevamento di Dr.Web per dispositivi mobili Android, a novembre 2023 gli utenti meno spesso riscontravano le applicazioni trojan pubblicitarie delle famiglie Android.HiddenAds e Android.MobiDash. L'attività di quelle prime è diminuita di un quarto (25,03%), di quelle seconde di oltre un terzo (35,87%). Oltre a ciò, meno spesso venivano rilevati sui dispositivi protetti i trojan bancari e i programmi malevoli spia — del 3,53% e del 17,10% rispettivamente.

Allo stesso tempo, i malintenzionati di nuovo distribuivano programmi malevoli attraverso lo store di app Google Play. I nostri specialisti hanno identificato su di esso oltre due decine di programmi trojan della famiglia Android.FakeApp, utilizzati per scopi fraudolenti, nonché un ennesimo trojan che abbona proprietari di dispostivi Android a servizi a pagamento.

PRINCIPALI TENDENZE DI NOVEMBRE

  • Diminuita l'attività dei programmi trojan pubblicitari
  • Diminuita l'attività dei trojan bancari e delle applicazioni malevole spia
  • Diffusione di nuovi programmi malevoli attraverso lo store di app Google Play

Secondo i dati dei prodotti antivirus Dr.Web per Android

Android.HiddenAds.3831
Android.HiddenAds.3697
Programmi trojan per la visualizzazione di pubblicità invadenti. I campioni di questa famiglia spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.
Android.MobiDash.7805
Programma trojan che visualizza annunci pubblicitari invadenti. È un modulo software che gli sviluppatori software incorporano nelle applicazioni.
Android.Spy.5106
Rilevamento di un programma trojan che rappresenta versioni alterate di mods non ufficiali dell'applicazione WhatsApp. È in grado di rubare il contenuto di notifiche, offrire l'installazione di programmi da fonti sconosciute, e durante l'utilizzo del programma di messaggistica, visualizzare finestre di dialogo con contenuto configurabile da remoto.
Android.Spy.5864
Tramite questo record di virus, l'antivirus Dr.Web rileva un programma trojan che è nascosto in una serie di mods di terzi dell'applicazione di messaggistica WhatsApp. I malintenzionati utilizzano questo programma malevolo per spiare gli utenti. Ad esempio, possono cercare file sui dispositivi delle vittime e caricarli su un server remoto, raccogliere dati dalla rubrica, ottenere informazioni circa il dispositivo infetto, registrare l'audio dell'ambiente a scopo di intercettazione ecc.
Program.CloudInject.1
Rilevamento di applicazioni Android modificate tramite il servizio cloud CloudInject e l'omonima utility Android (aggiunta al database dei virus Dr.Web come Tool.CloudInject). Tali programmi vengono modificati sul server remoto, e l'utente (modificatore) interessato a modificarli non ha il controllo su che cosa esattamente verrà incorporato in essi. Inoltre, le applicazioni ricevono un set di autorizzazioni pericolose. Dopo la modificazione dei programmi, al modificatore compare la possibilità di gestirli in remoto: bloccarli, visualizzare dialoghi configurabili, tracciare il fatto di installazione e rimozione di altri software ecc.
Program.FakeAntiVirus.1
Rilevamento di programmi adware che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.
Program.wSpy.3.origin
Programma spia commerciale per il monitoraggio nascosto dei proprietari di dispositivi Android. Consente ai malintenzionati di leggere la corrispondenza (messaggi in popolari programmi di messaggistica istantanea ed SMS), ascoltare l'ambiente, tracciare la posizione del dispositivo, monitorare la cronologia del browser, ottenere l'accesso alla rubrica e ai contatti, alle fotografie e ai video, fare screenshot e scattare fotografie con la fotocamera del dispositivo, nonché ha la funzionalità keylogger.
Program.FakeMoney.7
Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Questi programmi simulano l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Anche quando gli utenti riescono a farlo, non è possibile per loro ottenere i pagamenti.
Program.TrackView.1
Rilevamento di un'applicazione che consente di monitorare gli utenti attraverso i dispositivi Android. Utilizzando questo programma, i malintenzionati possono rilevare la posizione dei dispositivi di destinazione, utilizzare la fotocamera per registrare video e scattare foto, effettuare l'ascolto tramite il microfono, creare registrazioni audio ecc.
Tool.NPMod.1
Rilevamento di applicazioni Android modificate tramite l'utility NP Manager. In tali programmi è incorporato un modulo speciale che consente di aggirare il controllo della firma digitale successivamente alla loro modifica.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Piattaforme software potenzialmente pericolose che consentono ad applicazioni di avviare file APK senza installazione. Queste piattaforme creano un ambiente di esecuzione virtuale nel contesto delle applicazioni in cui sono incorporate. I file APK avviati tramite di esse possono funzionare come se facessero parte di tali programmi e ricevere automaticamente le stesse autorizzazioni.
Tool.LuckyPatcher.1.origin
Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.
Adware.ShareInstall.1.origin
Modulo adware che può essere integrato in programmi Android. Visualizza notifiche pubblicitarie sulla schermata di blocco del sistema operativo Android.
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Adware.Adpush.21846
Moduli adware che possono essere integrati in programmi Android. Visualizzano notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questi moduli raccolgono una serie di dati riservati, nonché sono in grado di scaricare altre app e avviarne l'installazione.
Adware.Airpush.7.origin
Campione di una famiglia di moduli adware che vengono incorporati in applicazioni Android e visualizzano le più svariate pubblicità. A seconda della versione e variante, queste possono essere notifiche, finestre a comparsa o banner pubblicitari. Tramite questi moduli, i malintenzionati spesso distribuiscono programmi malevoli invitando a installare determinati software. Inoltre, tali moduli trasmettono al server remoto varie informazioni riservate.

Minacce su Google Play

A novembre il laboratorio dei virus dell'azienda Doctor Web ha individuato sullo store di app Google Play ulteriori programmi malevoli dalla famiglia Android.FakeApp. Alcuni di essi venivano distribuiti sotto false apparenze di programmi a tema finanziario — app di tutorial e guida, app per la contabilità domestica, strumenti per l'accesso a servizi di investimento ecc. Tra di essi sono Android.FakeApp.1497, Android.FakeApp.1498, Android.FakeApp.1499, Android.FakeApp.1526, Android.FakeApp.1527 e Android.FakeApp.1536. Il loro compito principale è quello di caricare siti fraudolenti su cui gli utenti vengono invitati a diventare investitori. Per fare ciò, devono fornire i propri dati personali.

Un altro programma falsificazione, Android.FakeApp.1496, era nascosto in un'app di guida con accesso a informazioni giuridiche. Poteva caricare un sito attraverso cui le vittime dei truffatori in campo investimenti potrebbero presumibilmente ottenere assistenza legale e recuperare denaro perso.

Il sito che veniva caricato da questo programma trojan è presentato di seguito. Il visitatore deve rispondere ad alcune domande, dopodiché compilare un modulo che sarebbe necessario per ottenere una "consulenza di un avvocato" gratuita.

Altri programmi falsificazione di nuovo venivano spacciati dai malintenzionati per giochi. Ad esempio, Android.FakeApp.1494, Android.FakeApp.1503, Android.FakeApp.1504, Android.FakeApp.1533 e Android.FakeApp.1534. In una serie di casi, essi veramente funzionano come giochi, tuttavia, la loro funzionalità principale è quella di caricare siti di casinò online e di scommesse.

Esempi di funzionamento di questi trojan come giochi:

Esempio di un sito di scommesse caricato da uno di essi:

Oltre a ciò, i nostri specialisti hanno individuato un ennesimo programma malevolo progettato per abbonare utenti a servizi a pagamento. I malintenzionati lo distribuivano con il pretesto di Air Swipes, un'applicazione per la gestione di dispositivi Android tramite gesti.

All'avvio questo trojan carica il sito di un servizio partner, attraverso cui viene effettuato l'abbonamento:

Se la vittima avvia il programma con l'accesso a internet disattivato, o se il sito di destinazione non è disponibile, il programma finge di essere l'applicazione promessa, ma non fornisce alcuna funzionalità utile visualizzando un messaggio di errore. L'antivirus Dr.Web rileva questa applicazione trojan come Android.Subscription.21.

Per proteggere i dispositivi Android dai programmi malevoli e indesiderati, consigliamo agli utenti di installare i prodotti antivirus Dr.Web per Android.

Indicatori di compromissione

Dr.Web Mobile Security

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

  • Il primo antivirus russo per Android
  • Oltre 140 milioni di download solo da Google Play
  • Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis