Diventa Autore per CoreTech | Scopri di più





Doctor Web: trojan Android.InfectionAds

24/04/19 CoreTech Blog

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Doctor Web: trojan Android.InfectionAds utilizza vulnerabilità critiche Android per l'infezione e l'installazione di altri programmi

Gli analisti Doctor Web hanno studiato il trojan Android.InfectionAds.1 che utilizza più vulnerabilità del sistema operativo Android. Attraverso le falle il malware infetta programmi, e inoltre può installare e rimuovere applicazioni senza che l’utente ne sia consapevole. Un'altra funzionalità di Android.InfectionAds.1 è quella di far visualizzare annunci.

I malintenzionati incorporano il trojan in software inizialmente innocui e ne distribuiscono le copie modificate attraverso popolari directory di applicazioni Android di terze parti – per esempio, Nine Store ed Apkpure. I nostri specialisti hanno rilevato Android.InfectionAds.1 in giochi e programmi, come ad esempio HD Camera, ORG 2018_19 \Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 e Touch on Girls. Alcuni di essi risultano installati da almeno alcune migliaia di proprietari di smartphone e tablet. Tuttavia, il numero di applicazioni infette e di utenti colpiti può rivelarsi molto più grande.

All'avvio di un programma in cui è incorporato il trojan, quest'ultimo estrae dalle sue risorse di file moduli ausiliari, dopodiché li decripta ed esegue. Uno di essi è progettato per visualizzare annunci invadenti, mentre altri sono utilizzati per infettare applicazioni e installare automaticamente software.

Banner

Android.InfectionAds.1 sovrappone banner pubblicitari all'interfaccia del sistema e delle applicazioni in esecuzione, ostacolando il normale utilizzo dei dispositivi. Inoltre, su comando del server di gestione il trojan può modificare il codice delle piattaforme pubblicitarie popolari Admob, Facebook e Mopub utilizzate in molti programmi e giochi. Sostituisce gli identificatori pubblicitari univoci con il proprio identificatore, e di conseguenza tutti i profitti derivanti dalla visualizzazione di annunci nelle applicazioni infette vanno agli autori di virus.

Android.InfectionAds.1 sfrutta la vulnerabilità critica CVE-2017-13315 del SO Android che permette al trojan di lanciare attività di sistema. Di conseguenza, esso può installare e rimuovere programmi in automatico senza l'intervento del proprietario del dispositivo mobile. Nella creazione del trojan è stato utilizzato un codice di dimostrazione di ricercatori cinesi (PoC — Proof of Concept), il quale era stato creato per dimostrare la possibilità di sfruttamento di questo difetto di sistema.

CVE-2017-13315 appartiene alla classe di vulnerabilità che hanno ricevuto il nome generale di EvilParcel. La loro essenza sta nel fatto che una serie di componenti di sistema contiene un errore a causa del quale durante lo scambio di dati tra le applicazioni e il sistema operativo i dati possono essere alterati. Il valore finale di un frammento appositamente formato di dati trasmessi sarà diverso da quello iniziale. In questo modo, i programmi sono in grado di aggirare i controlli del sistema operativo, ottenere privilegi più elevati ed eseguire azioni precedentemente non disponibili. Al momento, sono note 7 vulnerabilità di questo tipo, ma il loro numero può aumentare con il tempo.

Utilizzando EvilParcel, Android.InfectionAds.1 installa un file apk nascosto al suo interno, contenente tutti i componenti del trojan. Inoltre, allo stesso modo, Android.InfectionAds.1 è in grado di installare i suoi aggiornamenti scaricati dal server di gestione, nonché qualsiasi altro programma, compresi quelli malevoli. Per esempio, durante l'analisi, il trojan ha scaricato dal server e ha installato il programma malevolo Android.InfectionAds.4 che è una sua variante.

Di seguito viene mostrato un esempio di come il trojan installa applicazioni senza permesso dell'utente:

Insieme ad EvilParcel, il trojan sfrutta un'altra vulnerabilità del sistema operativo Android, conosciuta come Janus (CVE-2017-13156). Utilizzando questo difetto di sistema, infetta le applicazioni già installate incorporando in esse una sua copia. Android.InfectionAds.1 si connette al server di gestione e ottiene da esso una lista di programmi da infettare. Se non è riuscito a connettersi al centro remoto, infetta le applicazioni specificate nelle sue impostazioni iniziali. A seconda della versione del trojan, questa lista può contenere una varietà di elementi. Ecco un esempio di tale lista in una delle versioni di Android.InfectionAds.1 esaminate:

  • com.whatsapp (WhatsApp Messenger);
  • com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
  • com.mxtech.videoplayer.ad (MX Player);
  • com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
  • com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
  • com.jiochat.jiochatapp (JioChat: HD Video Call);
  • com.jio.join (Jio4GVoice);
  • com.good.gamecollection;
  • com.opera.mini.native (Opera Mini - fast web browser);
  • in.startv.hotstar (Hotstar);
  • com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
  • com.domobile.applock (AppLock);
  • com.touchtype.swiftkey (SwiftKey Keyboard);
  • com.flipkart.android (Flipkart Online Shopping App);
  • cn.xender (Share Music & Transfer Files – Xender);
  • com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
  • com.truecaller (Truecaller: Caller ID, spam blocking & call record);
  • com.ludo.king (Ludo King™).

Infettando programmi, il trojan aggiunge i suoi componenti alla struttura dei file apk senza modificarne la firma digitale. Quindi installa le versioni modificate delle applicazioni invece degli originali. In quanto la firma digitale dei file infetti rimane la stessa a causa della vulnerabilità, i programmi vengono installati come aggiornamenti di sé stessi. L'installazione anche viene eseguita con l'utilizzo della vulnerabilità EvilParcel senza la partecipazione dell'utente. Di conseguenza, i programmi attaccati continuano a funzionare normalmente, ma contengono in sé una copia di Android.InfectionAds.1 la quale opera impercettibilmente insieme ad essi. Quando le applicazioni vengono infettate, il trojan ha accesso a tutti i loro dati. Per esempio, infettando WhatsApp, ha accesso ai messaggi dell'utente, e infettando un browser ― ai login e le password salvati in esso.

L'unico modo per sbarazzarsi del trojan e ripristinare la sicurezza dei programmi infetti è quello di rimuovere le applicazioni che lo contengono ed installare nuovamente le loro copie pulite da fonti affidabili come Google Play. Nella versione aggiornata di Dr.Web Security Space per Android è comparsa la possibilità di rilevamento della vulnerabilità di classe EvilParcel. Questa funzionalità è disponibile in Auditor di sicurezza. È possibile scaricare il nuovo pacchetto di distribuzione dal sito ufficiale di Doctor Web, nel prossimo futuro sarà disponibile anche su Google Play.

Tutti i prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo le versioni conosciute di Android.InfectionAds.1, pertanto il trojan non rappresenta alcun pericolo per i nostri utenti.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web