Diventa Autore per CoreTech | Scopri di più





Nuovo trojan backdoor rilevato Doctor Web su Google Play

18/07/19 gatti News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Il programma malevolo è stato denominatoAndroid.Backdoor.736.origin. Si diffonde come applicazione OpenGL Plugin che sarebbe studiata per controllare la versione dell'interfaccia grafica OpenGL ES e caricare gli aggiornamenti.

All'avvioAndroid.Backdoor.736.originchiede l'accesso a diverse importanti autorizzazioni di sistema che gli consentiranno di raccogliere informazioni confidenziali e operare sul file system. Oltre a ciò, cerca di ottenere il permesso di visualizzazione di moduli di schermo sopra l'interfaccia di altri programmi.

Nella finestra dell'applicazione malevola c'è un pulsante per "controllare" gli aggiornamenti dell'interfaccia software grafica OpenGL ES. Al clic sul pulsante, il trojan simula il processo di ricerca di nuove versioni OpenGL ES, però in realtà non esegue alcun controllo, solo fuorviando l'utente.

Dopo che la vittima chiude la finestra dell'applicazione,Android.Backdoor.736.origintoglie la sua icona dalla lista dei programmi del menu della schermata principale e crea una scorciatoia per il suo avvio. Questo è fatto al fine di rendere più difficile per l'utente la rimozione del trojan in quanto la rimozione della scorciatoia non avrà impatto sul programma malevolo stesso.

Android.Backdoor.736.originè costantemente attivo in background e può essere avviato non solo attraverso l'icona o la scorciatoia, ma anche automaticamente all'avvio del sistema e sulla base di un comando impartito dai malintenzionati attraverso Firebase Cloud Messaging. Le funzionalità malevole principali sono locate in un file ausiliario che è criptato ed è conservato nella directory delle risorse del programma. Viene decriptato e caricato nella memoria a ogni avvio diAndroid.Backdoor.736.origin.

Il backdoor comunica con più server di controllo da cui riceve i comandi dei malintenzionati e su cui invia i dati raccolti. Oltre a ciò, i criminali informatici possono gestire il trojan attraverso il servizio Firebase Cloud Messaging.Android.Backdoor.736.originpuò eseguire le seguenti azioni:

  • trasmettere sul server informazioni sui contatti dalla rubrica;
  • trasmettere sul server informazioni sui messaggi SMS (nella versione analizzata il trojan non aveva le relative autorizzazioni);
  • trasmettere sul server informazioni sulle chiamate;
  • trasmettere sul server informazioni sulla posizione del dispositivo;
  • caricare ed eseguire un file apk o dex utilizzando la classe DexClassLoader;
  • trasmettere sul server informazioni sui programmi installati;
  • caricare e lanciare un file eseguibile;
  • scaricare un file dal server;
  • inviare sul server un file indicato;
  • trasmettere sul server informazioni sui file in una directory indicata o sui file sulla scheda di memoria;
  • eseguire un comando shell;
  • avviare l'attività indicata in un comando;
  • scaricare e installare un'applicazione Android;
  • visualizzare la notifica indicata in un comando;
  • richiedere il permesso indicato in un comando;
  • trasmettere sul server la lista delle autorizzazioni concesse al trojan;
  • non permettere al dispositivo di passare a modalità di sospensione per un tempo indicato.

Il trojan cripta tramite l'algoritmo AES tutti i dati trasmessi sul server. Ogni richiesta viene protetta da una chiave univoca generata in base all'ora corrente. La risposta del server viene criptata dalla stessa chiave.

Android.Backdoor.736.originè in grado di installare applicazioni in più modi:

  • in maniera automatica, se nel sistema ci sono i permessi di root (utilizzando un comando shell);
  • tramite la gestione pacchetti di sistema (solo per i software di sistema);
  • visualizzando il dialogo di sistema standard di installazione programmi in cui l'utente deve accettare l'installazione.

Dunque, questo backdoor rappresenta un serio pericolo. Non solo si occupa di spionaggio informatico, ma può anche essere utilizzato per il phishing in quanto è in grado visualizzare finestre e notifiche con qualsiasi contenuto. Oltre a ciò, può scaricare e installare qualsiasi altra applicazione malevola, nonché eseguire codice arbitrario. Ad esempio, su comando dei malintenzionati,Android.Backdoor.736.originpuò scaricare ed eseguire un exploit per ottenere i permessi di root, dopo di che non avrà più bisogno di intervento da parte dell'utente per installare altri programmi.

Doctor Web ha informato Google sul trojan, e al momento della pubblicazione di questo materiale esso era già rimosso da Google Play.

Android.Backdoor.736.origine i suoi componenti vengono rilevati e rimossi in maniera sicura dai prodotti antivirus Dr.Web per Android, pertanto, esso non rappresenta alcun pericolo per i nostri utenti.

#Android,#backdoor,#Google_Play,#spionaggio


Articoli su DrWeb

Dismissione Antivirus – Soluzioni Alternative DisponibiliStatistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web