Doctor Web: resoconto sulle minacce ai dispositivi mobili Android a luglio 2015

4 agosto 2015

Numero di record per i programmi malevoli e indesiderati per SO Android nel database dei virus Dr.Web

La minaccia "mobile" del mese

A luglio è stato scoperto un trojan Android molto interessante, aggiunto al database dei virus Dr.Web come l'Android.Poder.1. Quest'applicazione malevola, incorporata dai malintenzionati in una serie di programmi innocui (principalmente in giochi), può rubare le informazioni confidenziali, inviare a tutti i contatti dalla rubrica del telefono infetto messaggi sms in cui include un link per il download del trojan, nonché visualizza diversi messaggi di pubblicità, portando in questo modo profitti ai suoi creatori. Oltre alla visualizzazione della pubblicità, l'Android.Poder.1 dispone di un altro strumento di monetizzazione. In particolare, per accedere ad alcune funzioni, che erano gratuite nelle applicazioni originali, agli utenti viene offerto di fare un piccolo pagamento che in fin dei conti perviene agli scrittori dei virus intraprendenti. Le caratteristiche di questo trojan:

• è incorporato in una serie di applicazioni di gioco, modificate dai malfattori;
• raccoglie le informazioni confidenziali, quali per esempio la cronologia dei siti visitati nel web browser e i segnalibri salvati;
• può inviare ai numeri dalla rubrica del telefono infetto i messaggi sms con un link per il download di una copia del trojan (a seconda della versione dell'app malevola, l'invio può essere effettuato senza la conoscenza del proprietario del dispositivo mobile oppure con il suo consenso - in questo caso viene utilizzato il modulo standard di invio di messaggi);
• contiene diversi moduli di software progettati per la visualizzazione di pubblicità indesiderata;
• potrebbe chiedere agli utenti di pagare per l'accesso ad alcune funzioni dell'applicazione compromessa dai malintenzionati.

I trojan Android in Google Play

Il mese scorso gli specialisti della sicurezza informatica hanno individuato successivi trojan Android che erano stati caricati dagli autori dei virus nel catalogo Google Play. Questi programmi malevoli, secondo la classificazione Doctor Web, sono stati chiamati l'Android.Spy.134 e l'Android.Spy.135; si nascondevano in giochi apparentemente innocui. Questi trojan visualizzano sullo schermo una falsa finestra di autenticazione del client di Facebook e in questo modo chiedono ai proprietari dei dispositivi mobili di immettere il login e la password degli account e quindi trasmettono questi dati su un server remoto. Poco dopo, gli utenti del social network inclusi nella rubrica dell'account compromesso potrebbero ricevere un messaggio "da un amico" in cui si raccomanda di installare un gioco utilizzando il link specificato. Grazie a quest'approccio, i creatori dei trojan hanno raggiunto notevoli successi nella distribuzione dei malware: al momento della cancellazione dell'Android.Spy.134 e dell'Android.Spy.135 dal catalogo Google Play, in totale erano stati scaricati oltre 500.000 volte.

Le caratteristiche di questi trojan:

• oltre 500.000 scaricamenti dal catalogo Google Play;
• sono stati creati con utilizzo della piattaforma di software Mono Framework;
• gli utenti che hanno scaricato i programmi malevoli potevano utilizzarli come giochi completi;
• possono visualizzare una falsa finestra di autenticazione del client di Facebook chiedendo alle vittime di immettere il login e la password dei loro account;
• possono propagare tra gli "amici" dalla lista dei contatti su Facebook un messaggio con una raccomandazione di installare un gioco utilizzando il link specificato.

Alla fine di luglio gli analisti dei virus Doctor Web hanno scoperto nel catalogo Google Play un altro trojan, denominato l'Android.DownLoader.171.origin. Quest'applicazione malevola è progettata per lo scaricamento e l'installazione di vari programmi sui dispositivi mobili. Inoltre, su comando degli autori dei virus, può eliminare i software già installati. Un'altra funzione malevola dell'Android.DownLoader.171.origin è la possibilità di visualizzare annunci nella barra delle notifiche del sistema operativo.

Al momento della scoperta di questo trojan, era stato scaricato da Google Play da oltre 100.000 utenti. I malfattori distribuivano quest'applicazione anche attraverso altri cataloghi popolari, orientati principalmente all'audience cinese. Pertanto, il numero totale di utenti di Android che avevano installato l'Android.DownLoader.171.origin ha superato un milione e mezzo. Per maggiori informazioni circa il trojan, consultate una notizia pubblicata sul sito Doctor Web.

I trojan-backdoor

Il mese scorso il database dei virus Dr.Web è stato integrato con diversi nuovi record per i trojan-backdoor della famiglia Android.Backdoor progettata per l'esecuzione sui dispositivi mobili infetti di varie azioni indesiderate su comando degli hacker. In particolare, tra i programmi malevoli di questo genere, rilevati di recente, vanno segnalati i trojan Android.Backdoor.114.origin e Android.Backdoor.213.origin. I malintenzionati distribuivano questi backdoor in applicazioni innocue modificate; i programmi sono in grado di rubare agli utenti diverse informazioni confidenziali e anche scaricare e installare altre app in un modo impercettibile. Inoltre, il trojan Android.Backdoor.114.origin cerca di ottenere l'accesso di root sul dispositivo per installarsi in una cartella di sistema, assicurandosi una protezione contro l'eventuale tentativo di rimozione.

Numero di record per i trojan della famiglia Android.Backdoor nel database dei virus Dr.Web:

I ransomware Android

A luglio è stato individuato un grande numero di nuovi trojan-ransomware della famiglia Android.Locker. Questi pericolosi programmi malevoli bloccano i dispositivi mobili e chiedono agli utenti di pagare un riscatto per la possibilità di sbloccarli. Numero di record per i ransomware Android nel database dei virus Dr.Web:

I trojan-banker

A luglio i malintenzionati continuavano a distribuire vari trojan studiati per rubare soldi dai conti bancari degli utenti. Così, gli hacker sudcoreani hanno organizzato diverse "campagne" di spamming attraverso cui inviavano messaggi sms racchiudenti un link per il download di una copia di una o altra applicazione malevola Android. Rispetto al mese precedente, il numero di tali attacchi non è stato molto grande, meno di dieci attacchi.

Venivano distribuiti dai malintenzionati sudcoreani i seguenti trojan Android:

Numero di record per i trojan banker Android.BankBot nel database dei virus Dr.Web:

• Android.BankBot.29.origin

  Un trojan bancario che ruba le credenziali dei clienti di alcune banche sudcoreane. Quando si avviano i programmi originali di home-banking, sostituisce la loro interfaccia con una copia falsificata in cui all'utente viene chiesto di inserire tutte le informazioni confidenziali necessarie per controllare un conto bancario. Le informazioni digitate dall'utente vengono trasmesse successivamente ai malfattori. Con il pretesto dell'abbonamento a qualche servizio bancario, il trojan cerca di installare il malware Android.Banker.32.origin.

• Android.MulDrop.68.origin

  È un trojan progettato per la distribuzione di altre applicazioni malevole e per l'installazione di esse su dispositivi mobili.

I trojan che mandano SMS

Inoltre, il mese scorso sono stati scoperti tanti nuovi trojan di SMS che mandano messaggi costosi ai numeri premium e abbonano l'utente a servizi a pagamento non richiesti. Numero di record per i trojan Android.SmsSend nel database dei virus Dr.Web: