Diventa Autore per CoreTech | Scopri di più





Doctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utenti

15/11/17 coretech News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Gli analisti dei virus Doctor Web hanno trovato nella directory Google Play alcune applicazioni in cui era incorporato il trojan Android.RemoteCode.106.origin. Questo programma malevolo apre in modo impercettibile siti web, clicca su link e banner pubblicitari in essi locati, e inoltre aumenta il numero di false visite a risorse internet. Inoltre, può essere utilizzato per condurre attacchi di phishing e per rubare informazioni confidenziali.

Gli specialisti Doctor Web hanno individuato Android.RemoteCode.106.origin in 9 software ,scaricatida 2.370.000 a oltre 11.700.000 utenti. Il trojan è stato individuato nelle seguenti applicazioni:

  • Sweet Bakery Match 3 – Swap and Connect 3 Cakes versione 3.0;
  • Bible Trivia versione 1.8;
  • Bible Trivia – FREE versione 2.4;
  • Fast Cleaner light versione 1.0;
  • Make Money 1.9;
  • Band Game: Piano, Guitar, Drum versione 1.47;
  • Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017 versione 1.0.2;
  • Easy Backup & Restore versione 4.9.15;
  • Learn to Sing versione 1.2.

I nostri analisti hanno informato l'azienda Google della presenza di Android.RemoteCode.106.origin nelle applicazioni individuate. Al momento della pubblicazione di questo materiale una parte di esse erano già state aggiornate e il trojan eliminato. Tuttavia, i programmi rimanenti contenevano ancora il componente malevolo e rappresentavano ancora un pericolo.

Prima di iniziare le attività dannose, Android.RemoteCode.106.origin esegue una serie di controlli, sul dispositivo mobile infetto, se non vi sono un determinato numero di foto, contatti nella rubrica e record nel registro chiamate, il trojan non si manifesta in nessun modo. Se invece le condizioni impostate sono soddisfatte, il malware invia una richiesta sul server di gestione e cerca di aprire il link ricevuto nel messaggio di risposta. Se ha successo, Android.RemoteCode.106.origin mette in azione le sue funzionalità principali.

Il trojan scarica dal server di gestione una lista dei moduli da avviare. Uno di essi è stato aggiunto al database dei virus Dr.Web come Android.Click.200.origin.

In automatico, questo malware,aprenel browser un sito web che gli viene trasmesso dal centro di comando. Questa funzionalità può essere utilizzata per aumentare il contatore di visite e risorse internet.

Viene anche utilizzato per condurre attacchi di phishing, se il trojan riceverà il comando di aprire una pagina web fraudolenta.

Il secondo modulo del trojan, denominato Android.Click.199.origin, assicura il funzionamento del terzo componente, inserito nel database dei virus come Android.Click.201.origin. L'obiettivo principale di Android.Click.199.origin è quello di caricare, avviare e aggiornare il modulo Android.Click.201.origin.

A sua volta, dopo l'avvio Android.Click.201.origin si connette al server di gestione da cui ottiene compiti. Questi ultimi contengono indirizzi di siti web che vengono quindi aperti dal trojan in una finestra WebView invisibile per l'utente. Dopo aver aperto uno degli indirizzi bersaglio, Android.Click.201.origin fa clic in autonomo su un banner pubblicitario indicato nel comando oppure su un elemento casuale della pagina aperta. Ripete queste azioni fino a quando non raggiungerà il numero di clic impostato.

Dunque, lo scopo principale del trojan Android.RemoteCode.106.origin è quello di caricare e avviare moduli malevoli addizionali che vengono utilizzati per aumentare il contatore di visite a siti web, e inoltre per cliccare annunci pubblicitari, per cui i malintenzionati ricevono una ricompensa. Inoltre, il malware può essere utilizzato per condurre attacchi di phishing e per rubare informazioni confidenziali.

I prodotti antivirus Dr.Web per Android rilevano con successo tutte le applicazioni che contengono il trojan Android.RemoteCode.106.origin e i suoi moduli ausiliari quindi questi programmi malevoli non rappresentano alcun pericolo per i nostri utenti. A rilevamento di un software in cui è integrato Android.RemoteCode.106.origin, ai proprietari di smartphone e tablet Android è consigliato rimuovere tale software o controllare la disponibilità delle versioni aggiornate senza le funzioni trojan.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web