Si utilizza un browser obsoleto!
La pagina può visualizzarsi in modo non corretto.
31 marzo 2016
A marzo gli specialisti Doctor Web hanno esaminato il programma malevolo Android.Gmobi.1 trovato nelle applicazioni TrendMicro Dr.Safety, TrendMicro Dr.Booster e Asus WebStorage e inoltre nel software preinstallato di oltre 40 modelli di dispositivi mobili Android. È una piattaforma SDK specializzata (Software Development Kit) che viene utilizzata dagli sviluppatori di software e dai produttori di smartphone e tablet. Probabilmente, gli autori non hanno pensato questo modulo come un trojan, però si comporta come un tipico malware.
Per esempio, Android.Gmobi.1 può mostrare pubblicità indesiderata di diversi tipi: metterla nella barra delle notifiche o visualizzarla come banner sopra le finestre dei programmi in esecuzione. Inoltre, il trojan crea in autonomo collegamenti sul desktop dell'SO, apre varie pagine nel browser e nell'applicazione Google Play, e anche può scaricare, installare e lanciare vari software. Oltre alle funzioni sopraccitate, Android.Gmobi.1 possiede anche le funzioni di spione – ruba varie informazioni confidenziali e le trasmette ai malintenzionati. Le maggiori informazioni su questo trojan sono disponibili nell'articolo pubblicato sul sito Doctor Web.
Alla fine di marzo gli analisti dei virus Doctor Web hanno scoperto nella directory Google Play oltre 100 applicazioni che contenevano il trojan spione Android.Spy.277.origin , capace anche di mostrare pubblicità indesiderata. Questo programma malevolo veniva distribuito soprattutto in versioni manipolate dei software più ricercate. Android.Spy.277.origin trasmette sul server di gestione una grande quantità di informazioni confidenziali ed è capace di visualizzare pubblicità di vario genere.
In particolare, può mostrare la pubblicità nei banner collocati sopra le finestre delle altre applicazioni o sopra l'interfaccia dell'SO, visualizzare messaggi nella barra delle notifiche, creare collegamenti sul desktop e aprire automaticamente link nel browser. Le informazioni dettagliate su questo trojan sono disponibili in un articolo pubblicato sul nostro sito.
A marzo gli analisti dei virus Doctor Web hanno finito di studiare un intero gruppo di trojan della famiglia Android.Triada, che si incorporano in un importante processo di sistema (Zygote) ed eseguono attività malevole su comando dei malintenzionati. Nell'SO Android il processo Zygote è responsabile dell'avvio di tutte le applicazioni e al momento del loro avvio crea per esse nel sistema operativo una sua copia che contiene le librerie di sistema ed altri componenti necessari per il funzionamento. Quando i trojan si incorporano nel processo Zygote, ottengono effettivamente la possibilità di infettare i processi di tutti i software che verranno successivamente avviati e possono eseguire azioni nocive a nome e con i permessi di queste applicazioni.
La principale funzione nociva, attualmente realizzata nei trojan Android.Triada è l'invio nascosto di sms e anche la sostituzione del testo e del numero del destinatario di un messaggio che l'utente invia dal dispositivo compromesso. Ciononostante, su comando del server di gestione, i programmi malevoli possono scaricare ulteriori componenti che verranno utilizzati per l'esecuzione di altre azioni indesiderate richieste dai malintenzionati.
Va notato che i campioni della famiglia Android.Triada dispongono di una funzione di autoprotezione. In particolare, i trojan cercano di monitorare e di terminare il funzionamento di alcuni programmi antivirus comuni in Cina. Inoltre, controllano l'integrità dei loro componenti: se uno dei file malevoli viene rimosso dal dispositivo, il trojan lo ripristinerà dalla memoria operativa.
La comparsa dei trojan Android.Triada ha nuovamente mostrato che le applicazioni malevole per smartphone e tablet Android diventano sempre più pericolose ed evolute e spesso per funzione non sono inferiori ai trojan per SO Windows. Gli specialisti Doctor Web monitorano continuamente la situazione con i virus e aggiungono prontamene al database dei virus le firme di tutte le nuove applicazioni malevole.
