Doctor Web: resoconto sulle minacce ai dispositivi mobili Android a giugno 2015

30 giugno 2015

Numero di record per i programmi malevoli e indesiderati per SO Android nel database dei virus Dr.Web

La minaccia “mobile” del mese

Il mese scorso gli specialisti Doctor Web hanno scoperto ed analizzato un trojan-banker molto curioso, denominato l'Android.BankBot.65.origin, che i malfattori hanno incorporato nell'applicazione ufficiale per i servizi mobile della banca russa Sberbank. L'applicazione modificata dai malintenzionati veniva distribuito su un sito popolare, dedicato ai dispositivi mobili, che offriva agli utenti di installare la "nuova versione" del programma bancario.

Il principale pericolo è che l'Android.BankBot.65.origin mantiene tutte le funzioni originali dell'applicazione bancaria ufficiale, quindi dopo l'installazione sul dispositivo mobile, la potenziale vittima non dovrebbe sospettare alcunché. In realtà, dopo il suo avvio il programma malevolo carica varie informazioni, invisibilmente per il proprietario del dispositivo Android compromesso, su un server remoto e su comando degli autori del virus può intercettare e mandare messaggi sms, il che i criminali informatici potrebbero utilizzare per rubare denaro dai conti bancari dell'utente. Il trojan Android.BankBot.65.origin è stato descritto con maggiori dettagli in un articolo pubblicato sul sito della nostra società Doctor Web.

I banker Android

I vari trojan-banker, di cui emergono di continuo nuovi campioni, oggi rappresentano una delle principali minacce agli utenti del SO Android. Oltre al programma pericoloso Android.BankBot.65.origin, il mese scorso gli specialisti Doctor Web hanno individuato anche l'attività di altri trojan simili. In particolare, i malintenzionati da vari paesi hanno continuato a distribuire i banker Android tramite messaggi SMS indesiderati che includono un link per il download di un'applicazione malevola. Per esempio, in Russia con il pretesto di messaggi MMS in arrivo venivano distribuite varie versioni del trojan Android.SmsBot.291.origin.

Anche nella Corea del Sud i malintenzionati hanno effettuato tali attacchi: gli specialisti Doctor Web ne hanno registrato 20.

A giugno attraverso lo spam i malintenzionati sudcoreani distribuivano le seguenti applicazioni malevole Android:

Numero di record per i trojan banker Android.BankBot nel database dei virus Dr.Web:

Numero di record per i trojan multifunzionali Android.SmsBot nel database dei virus Dr.Web:

• Android.SmsBot.291.origin

  È un trojan bancario gestito dai malintenzionati su remoto e progettato per il furto del denaro degli utenti.

• Android.BankBot.29.origin

  Un trojan bancario che ruba le credenziali dei clienti di alcune banche sudcoreane. Quando si avviano i programmi originali di home-banking, sostituisce la loro interfaccia con una copia falsificata in cui all'utente viene chiesto di inserire tutte le informazioni confidenziali necessarie per controllare un conto bancario. Le informazioni digitate dall'utente vengono trasmesse ai malfattori. Con il pretesto dell'abbonamento a qualche servizio bancario, il trojan cerca di installare il malware Android.Banker.32.origin.

• Android.MulDrop.53.origin

  È un trojan progettato per la distribuzione di altre applicazioni malevoli e per l'installazione di esse su dispositivi mobili.

• Android.MulDrop.14.origin

  Un programma trojan progettato per la distribuzione e per l'installazione di altri programmi malevoli per Android, in particolare di vari trojan-banker. Viene distribuito dai malfattori soprattutto tra gli utenti sudcoreani.

• Android.BankBot.38.origin

  Un programma trojan Android utilizzato per rubare soldi dai conti bancari degli utenti dei dispositivi mobili.

• Android.Titan.8

  È un trojan pericoloso che ruba varie informazioni confidenziali e può eseguire una vasta gamma di azioni malevole su comando dei malintenzionati (in particolare può fare chiamate di nascosto, registrare le conversazioni al telefono, visualizzare vari messaggi nella barra delle notifiche ecc.).

I trojan-downloader

A giugno gli analisti dei virus Doctor Web hanno scoperto un successivo trojan Android appartenente alla categoria studiata per scaricare di nascosto altre applicazioni malevole sui dispositivi mobili. Questo programma pericoloso, aggiunto ai database dei virus come l'Android.DownLoader.157.origin, sembra di essere un'utility innocua che durante una chiamata visualizza sullo schermo varie informazioni circa l'interlocutore (in particolare, il paese e la regione di abitazione, il nome dell'operatore mobile utilizzato). Tuttavia, anche una brutta sorpresa aspetta gli utenti che hanno installato questa app: fra qualche tempo dopo l'avvio nella barra delle informazioni del SO Android iniziano a comparire degli avvisi che assomigliano alle notifiche di arrivo di messaggi. Se l'utente fa clic su questi avvisi, il programma scarica sul dispositivo diversi software, la maggior parte dei quali è malevola. Per maggior informazioni su questo trojan, leggete questa notizia di Doctor Web.

Numero di record per i trojan della famiglia Android.DownLoader nel database dei virus Dr.Web:

I ransomware Android

Come in precedenza, un serio pericolo per gli utenti di Android rappresentano i trojan-ransomware della famiglia Android.Locker, ovvero programmi che bloccano i dispositivi mobili Android e chiedono un riscatto per la possibilità di sbloccarli. Il mese scorso il database dei virus Dr.Web è stato integrato con un notevole numero di nuovi record per questi trojan:

I trojan che mandano SMS

A giungo è stato scoperto un grande numero di nuovi trojan che mandano SMS senza la conoscenza dell'utente, appartenenti a varie famiglie. Queste applicazioni malevole mandano messaggi sms a pagamento invisibilmente per gli utenti e inoltre abbonano il telefono a servizi costosi.

Numero di record per i trojan Android.SmsSend nel database dei virus Dr.Web: