Diventa Autore per CoreTech | Scopri di più





Doctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clicker

30/10/19 gatti News

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Gli analisti di virus hanno individuato più versioni di questo malware, che sono state chiamateAndroid.Click.322.origin,Android.Click.323.origineAndroid.Click.324.origin. Per nascondere il loro vero scopo, nonché per ridurre la probabilità di rilevamento del trojan, i malintenzionati hanno usato diversi metodi. Primo, hanno integrato il clicker in applicazioni innocue: fotocamere e raccolte di immagini che eseguivano le funzioni dichiarate. Come risultato, gli utenti e gli esperti di sicurezza informatica non avevano motivo di considerarle come una minaccia.

Secondo, tutti i programmi malevoli erano protetti dal packer commerciale Jiagu il quale ostacola il rilevamento antivirus e l'analisi del codice. Pertanto, il trojan aveva maggiori probabilità di evitare il rilevamento da parte della protezione incorporata Google Play.

Terzo, gli autori di virus hanno cercato di mascherare il trojan da note librerie pubblicitarie e analitiche. Dopo essere stato aggiunto ai programmi veicolo, esso si integrava negli SDK Facebook e Adjust nascondendosi tra i loro componenti.

Inoltre, il clicker attaccava gli utenti in modo selettivo: non eseguiva azioni malevole se la potenziale vittima non era abitante di uno dei paesi che interessavano ai malintenzionati.

Sotto sono riportati esempi di applicazioni con il trojan incorporato:

Dopo l'installazione e l'avvio, il clicker (qui di seguito prendiamo come esempio la versioneAndroid.Click.322.origin) cerca di ottenere l'accesso alle notifiche del sistema operativo mostrando la seguente richiesta:

Se l'utente accetta di concedere le autorizzazioni richieste, il trojan potrà nascondere tutte le notifiche su SMS in arrivo e intercettare i testi dei messaggi.

Quindi il clicker trasmette sul server di gestione i dati tecnici sul dispositivo infettato e controlla il numero di serie della scheda SIM della vittima. Se la SIM corrisponde a uno dei paesi target,Android.Click.322.origininvia sul server informazioni sul numero di telefono associato. Agli utenti da determinati paesi il clicker mostra una finestra di phishing in cui chiede loro di inserire il numero o accedere all'account Google:

Se invece la SIM della vittima non appartiene a un paese di interesse per i malintenzionati, il trojan non esegue alcun'azione e cessa l'attività malevola. Le versioni del clicker esaminate attaccano gli abitanti dei seguenti paesi:

Banner

  • Austria
  • Italia
  • Francia
  • Thailandia
  • Malaysia
  • Germania
  • Qatar
  • Polonia
  • Grecia
  • Irlanda

Dopo aver trasmesso informazioni sul numero,Android.Click.322.originattende un comando dal server di gestione. Il server invia al trojan task in cui sono contenuti gli indirizzi di siti web da caricare e un codice in formato JavaScript. Questo codice viene utilizzato per gestire il clicker attraverso l'interfaccia JavascriptInterface, visualizzare notifiche push sul dispositivo, effettuare clic su pagine web e altre azioni.

Una volta ha l'indirizzo di un sito,Android.Click.322.originlo apre in una WebView invisibile in cui viene anche caricato lo JavaScript precedentemente ottenuto con i parametri per i clic. Dopo aver aperto un sito con servizi premium, il trojan fa clic in automatico sui link e pulsanti necessari. Quindi riceve i codici di verifica da SMS e conferma in autonomo l'abbonamento.

Nonostante il clicker non abbia la funzione di gestione degli SMS e l'accesso ai messaggi, bypassa questa restrizione. Ciò avviene nel seguente modo. Un servizio software trojan monitora le notifiche dall'applicazione di gestione degli SMS impostata di default. Quando arriva un messaggio, il servizio nasconde la notifica di sistema corrispondente. Quindi estrae da essa informazioni sull'SMS ricevuto e le trasmette al ricevitore di trasmissione trojan. Come risultato, l'utente non vede alcuna notifica su SMS in arrivo e non sa nulla di quanto sta accadendo. Scoprirà di avere un abbonamento solo quando i soldi inizieranno a scomparire dal suo conto o quando aprirà il menu dei messaggi e vedrà gli SMS relativi al servizio premium.

Dopo una richiesta degli specialisti Doctor Web all'azienda Google, le applicazioni malevole rilevate sono state rimosse da Google Play. Tutte le versioni conosciute di questo clicker vengono rilevate e rimosse con successo tramite i prodotti antivirus Dr.Web per Android e quindi non rappresentano alcuna minaccia per i nostri utenti.

#Android,#Google_Play,#clicker,#abbonamento_a_pagamento


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web