2 aprile 2015
LE PRINCIPALI TENDENZE DI MARZO
- Sono operosi i trojan che mandano SMS
- Diffusione dei trojan-banker
- Aumento del numero di trojan-ransomware
- Sono comparsi nuovi programmi malevoli creati dai criminali informatici per ottenere illeciti guadagni
Numero di record per i programmi malevoli e indesiderati per SO Android nel database dei virus Dr.Web
| Febbraio 2015 | Marzo 2015 | Dinamica |
|---|---|---|
| 6665 | 7103 | +6,57% |
Minaccia “mobile” del mese
Nel mese passato gli specialisti Doctor Web hanno scoperto un pericoloso trojan multifunzione, denominato Android.Titan.1, studiato per inviare di nascosto messaggi sms, effettuare chiamate non autorizzate e raccogliere informazioni confidenziali varie. Caratteristiche di questo trojan:
- Può essere distribuito dai malfattori attraverso servizi cloud con utilizzo di SMS indesiderati, contenenti un link che porta ad una pagina da cui si scarica il programma dannoso.
- Una volta avviato sui dispositivi mobili, rimuove la sua icona per nascondere la sua presenza.
- Può effettuare chiamate in un modo invisibile, anche quando lo smartphone o il tablet infetto è nella modalità di attesa con lo schermo spento. Durante una chiamata eseguita dal trojan, lo schermo rimane inattivo, di conseguenza l'utente non si accorge dell'attività indesiderabile del suo dispositivo.
- Le sue funzionalità dannose principali sono implementate come una libreria Unix separata, di conseguenza alcuni programmi antivirus potrebbero non essere in grado di rilevare l'app pericolosa.
Questo programma malevolo può essere rilevato e neutralizzato dai prodotti antivirus Dr.Web per Android. Il trojan è stato descritto con maggiori dettagli in un articolo pubblicato sul sito della nostra società.
Trojan che mandano SMS
Vari trojan degli SMS restano, così come prima, tra i più attivi programmi malevoli per Android. A marzo i più degni di nota tra di essi sono quelli della famiglia Android.Bodkel, alcuni di cui venivano distribuiti dagli scrittori dei virus attraverso un social network popolare nella Russia. I malfattori hanno creato nel social network alcune community attraverso cui propagavano versioni pirata o presumibilmente gratuite di vari programmi per Android a pagamento e suggerivano alle potenziali vittime di visitare siti web inattendibili per scaricare tali versioni.
Se installati sul dispositivo mobile, tali programmi su comando dei malintenzionati possono di nascosto inviare costosi SMS, iscrivere l'utente a servizi a pagamento raggirando il metodo di sicurezza captcha, e inoltre possono eseguire una vasta gamma di azioni pericolose. Ecco alcuni trojan della famiglia Android.Bodkel che sono stati utilizzati in questo attacco:
Numero di record per i trojan Android.Bodkel nel database dei virus Dr.Web:
| Febbraio 2015 | Marzo 2015 | Dinamica |
|---|---|---|
| 154 | 169 | +9,74% |
Trojan bancari
Nel mese scorso ci sono stati nuovi casi della distribuzione da parte dei malintenzionati di vari trojan bancari per il SO Android. In particolare, un'altra volta tali applicazioni sono state utilizzate per gli attacchi contro gli utenti nella Corea del Sud - i criminali informatici, così come in precedenza, hanno utilizzato lo spamming sms per inviare un link al download dei programmi malevoli, però il numero di tali attacchi a marzo è diminuito notevolmente rispetto ai mesi precedenti e possiamo contarne meno di 20 casi. Gli scrittori dei virus hanno utilizzato le seguenti applicazioni malevole Android negli attacchi contro i clienti delle banche sudcoreane:
Android.BankBot.29.origin
Un trojan bancario che ruba credenziali dei clienti di alcune banche sudcoreane. Quando si avviano i programmi originali di home-banking, il trojan sostituisce la loro interfaccia utente con una copia falsificata in cui vengono chieste tutte le informazioni confidenziali necessarie per avere controllo sulla gestione di un conto bancario. Le informazioni digitate dall'utente vengono trasmesse ai malfattori. Con il pretesto dell'abbonamento a qualche servizio bancario, il trojan cerca di installare il malware Android.Banker.32.origin.
Android.MulDrop.14.origin
Un programma trojan progettato per la diffusione e per l'installazione celata di altri programmi malevoli per Android, in particolare di vari trojan-banker. Viene distribuito dai malfattori soprattutto tra gli utenti sudcoreani.
Trojan-ransomware
A marzo sono stati scoperti nuovi trojan-ransomware della famiglia Android.Locker, ovvero programmi che bloccano i dispositivi mobili Android e chiedono un riscatto per la possibilità di sbloccarli. Numero di record per questi programmi malevoli pericolosi nel database dei virus Dr.Web:
| Febbraio 2015 | Marzo 2015 | Dinamica |
|---|---|---|
| 174 | 190 | +9,2% |
Altre applicazioni malevole
Android.Gazon.1
Un programma trojan che consente ai malintenzionati di ottenere guadagni illeciti caricando diversi sondaggi nel browser del dispositivo mobile Android. Caratteristiche di questo trojan:
- Per distribuire il programma, i malintenzionati inviano falsi buoni sconto di Amazon. Inoltre, il trojan può diffondersi autonomamente dato che possiede le funzioni di worm di sms. A tale scopo, il programma malevolo invia a tutti i contatti dalla rubrica del dispositivo compromesso messaggi sms in cui viene offerto di ricevere un buono sconto attraverso il link riportato nel messaggio.
- Una volta avviato, il trojan carica nel browser del dispositivo mobile una pagina con un sondaggio, e se l'utente risponde alle domande fino alla fine, gli autori dell'app malevola ricevono una ricompensa.
Android.Backdoor.160.origin
Un trojan-backdoor multifunzione per il SO Android, capace di eseguire un'ampia varietà di compiti. Caratteristiche:
- Viene gestito dai malintenzionati tramite le notifiche push del servizio Baidu Cloud.
- Può intercettare sms, eseguire una registrazione audio tramite il microfono incorporato nel dispositivo mobile, può individuare la posizione dell'utente, caricare sul server remoto immagini conservate sul dispositivo mobile compromesso e tutti i contatti dalla rubrica.
- Può mandare sms, fare chiamate e scaricare e rimuovere file.
- Ha diverse versioni (Android.Backdoor.161.origin, Android.Backdoor.165.origin).
