Diventa Autore per CoreTech | Scopri di più
15/11/17 coretech News
Gli analisti dei virus Doctor Web hanno trovato nella directory Google Play alcune applicazioni in cui era incorporato il trojan Android.RemoteCode.106.origin. Questo programma malevolo apre in modo impercettibile siti web, clicca su link e banner pubblicitari in essi locati, e inoltre aumenta il numero di false visite a risorse internet. Inoltre, può essere utilizzato per condurre attacchi di phishing e per rubare informazioni confidenziali.
Gli specialisti Doctor Web hanno individuato Android.RemoteCode.106.origin in 9 software ,scaricatida 2.370.000 a oltre 11.700.000 utenti. Il trojan è stato individuato nelle seguenti applicazioni:
I nostri analisti hanno informato l'azienda Google della presenza di Android.RemoteCode.106.origin nelle applicazioni individuate. Al momento della pubblicazione di questo materiale una parte di esse erano già state aggiornate e il trojan eliminato. Tuttavia, i programmi rimanenti contenevano ancora il componente malevolo e rappresentavano ancora un pericolo.
Prima di iniziare le attività dannose, Android.RemoteCode.106.origin esegue una serie di controlli, sul dispositivo mobile infetto, se non vi sono un determinato numero di foto, contatti nella rubrica e record nel registro chiamate, il trojan non si manifesta in nessun modo. Se invece le condizioni impostate sono soddisfatte, il malware invia una richiesta sul server di gestione e cerca di aprire il link ricevuto nel messaggio di risposta. Se ha successo, Android.RemoteCode.106.origin mette in azione le sue funzionalità principali.
Il trojan scarica dal server di gestione una lista dei moduli da avviare. Uno di essi è stato aggiunto al database dei virus Dr.Web come Android.Click.200.origin.
In automatico, questo malware,aprenel browser un sito web che gli viene trasmesso dal centro di comando. Questa funzionalità può essere utilizzata per aumentare il contatore di visite e risorse internet.
Viene anche utilizzato per condurre attacchi di phishing, se il trojan riceverà il comando di aprire una pagina web fraudolenta.
Il secondo modulo del trojan, denominato Android.Click.199.origin, assicura il funzionamento del terzo componente, inserito nel database dei virus come Android.Click.201.origin. L'obiettivo principale di Android.Click.199.origin è quello di caricare, avviare e aggiornare il modulo Android.Click.201.origin.
A sua volta, dopo l'avvio Android.Click.201.origin si connette al server di gestione da cui ottiene compiti. Questi ultimi contengono indirizzi di siti web che vengono quindi aperti dal trojan in una finestra WebView invisibile per l'utente. Dopo aver aperto uno degli indirizzi bersaglio, Android.Click.201.origin fa clic in autonomo su un banner pubblicitario indicato nel comando oppure su un elemento casuale della pagina aperta. Ripete queste azioni fino a quando non raggiungerà il numero di clic impostato.
Dunque, lo scopo principale del trojan Android.RemoteCode.106.origin è quello di caricare e avviare moduli malevoli addizionali che vengono utilizzati per aumentare il contatore di visite a siti web, e inoltre per cliccare annunci pubblicitari, per cui i malintenzionati ricevono una ricompensa. Inoltre, il malware può essere utilizzato per condurre attacchi di phishing e per rubare informazioni confidenziali.
I prodotti antivirus Dr.Web per Android rilevano con successo tutte le applicazioni che contengono il trojan Android.RemoteCode.106.origin e i suoi moduli ausiliari quindi questi programmi malevoli non rappresentano alcun pericolo per i nostri utenti. A rilevamento di un software in cui è integrato Android.RemoteCode.106.origin, ai proprietari di smartphone e tablet Android è consigliato rimuovere tale software o controllare la disponibilità delle versioni aggiornate senza le funzioni trojan.