Dr.Web CureIt! — scarica l'antivirus gratis! Pulisce i virus. È il migliore antivirus gratuito!

155 applicazioni con un trojan da Google Play sono state scaricate da oltre 2.800.000 utenti

28 luglio 2016

Gli specialisti Doctor Web hanno trovato un nuovo trojan su Google Play, che visualizza pubblicità invasive e inoltre ruba diverse informazioni confidenziali. Questo programma malevolo risulta incorporato in oltre 150 applicazioni che in totale sono state scaricate da almeno 2.800.000 utenti.

Questo trojan, denominato Android.Spy.305.origin, è una successiva piattaforma pubblicitaria (SDK) che alcuni sviluppatori di software utilizzano per la monetizzazione delle loro applicazioni. Gli specialisti Doctor Web hanno rilevato almeno sette sviluppatori che avendo incorporato Android.Spy.305.origin nei loro programmi, li distribuiscono attraverso Google Play. In particolare questi sono gli sviluppatori MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps e Mothrr Mobile Apps.

Le applicazioni in cui è incorporato il trojan appartengono alle categorie sfondi animati, raccolte di immagini, utility, software per il processamento di fotografie, per l'ascolto di radio in rete ecc. Al momento gli analisti dei virus Doctor Web hanno scoperto 155 tali programmi di cui il numero complessivo di download ha superato 2.800.000. La società Google è stata informata di queste applicazioni, di cui parecchie però restano ancora disponibili per il download.

Ad avvio dei programmi in cui si trova il trojan Android.Spy.305.origin quest'ultimo si connette con il server di gestione da cui ottiene un comando di download di un modulo ausiliario, rilevato come Android.Spy.306.origin. Questo componente contiene le principali funzioni dannose che Android.Spy.305.origin utilizza mediante la classe DexClassLoader.

Quindi il trojan trasmette sul server i seguenti dati:

indirizzo email associato all'account utente di Google;
lista delle applicazioni installate;
lingua attuale del sistema operativo;
nome del produttore del dispositivo mobile;
nome del modello del dispositivo mobile;
identificatore IMEI;
versione del sistema operativo;
risoluzione dello schermo;
nome dell'operatore mobile;
nome dell'applicazione in cui è contenuto il trojan;
identificatore dello sviluppatore dell'applicazione;
versione dell'SDK pubblicitario malevolo.

In seguito Android.Spy.305.origin inizia ad eseguire le funzioni principali, cioè a visualizzare pubblicità invasive. Il trojan può visualizzare sopra l'interfaccia delle applicazioni in esecuzione e del sistema operativo diversi banner pubblicitari, inclusi quelli con video. Inoltre, può mettere avvisi nella barra delle notifiche, per esempio, quelli che offrono di scaricare un software o spaventano l'utente con false informazioni su programmi malevoli rilevati.

Di seguito è riportato l'elenco dei software in cui è stato rilevato Android.Spy.305.origin:

com.greenapp.slowmotion
com.maxmitek.livewallpapernight
com.asem.contactfilter
com.allinOne.openquickly
com.dorilradio.pe
com.fusianart.takescreenshots
com.maxmitek.livewallpapergod
com.gigmobile.booster
com.mobilescreen.recorder
com.mobilescreen.capture
com.fattys.automaticcallrecording
com.maxmitek.livewallpaperbutterfly
com.lollicontact.caller
com.fusianart.doubletapscreen
com.maxmitek.livewallpaperrain
com.dorilradio.ru
com.appworks.browser
com.maxmitek.livewallpaperwinter
com.sgfatty.videoplayerpro
com.trueapppower.battery
com.fattystudiocontacts.bassbooster
com.mobiletool.rootchecker
com.magicapp.reversevideo
com.maxmitek.livewallpaperchristmas
com.live3d.wallpaperlite
com.maxmitek.flowerwallpaper
com.maxmitek.livewallpaperaquariumfishfish
com.maxmitek.nightwallpapers
com.vmh.crackyourscreen
com.nicewallpaper.s6wallpaper
com.maxmitek.sunsetwallpaper
com.nicewallpaper.supercar
com.maxmitek.lovewallpaper
com.maxmitek.livewallpaperdolphins
com.nicewallpaper.beautigirl
com.maxmitek.beachwallpaper
com.maxmitek.livewallpapernewyear
com.maxmitek.livewallpapergalaxy
com.maxmitek.livewallpaper3d
com.maxmitek.livewallpaperwaterfall
com.maxmitek.wallpaperhalloween
com.maxmitek.catwallpaper
com.fattysgui.beautyfont
com.fattystudioringtone.mp3cutter
com.fattystudio.convertertomp3
com.fattystudio.pictureeditor
com.gig.wifidoctor
com.minibackup.contacttranfer
com.greenapp.voicerecorder
com.glade.batterysaver
com.beatstudio.awcapture
com.mothrrmobile.volume
com.trueapplab.fastlauncher
net.camspecial.clonecamera
com.sunny.text2photo
com.converttool.videomp3
com.foto.proeditor
com.appworks.djmixonline
com.appworksui.myfonts
com.appworks.crackyourscreen
com.appworkscontact.instadownloader
com.rartool.superextract
com.easytool.screenoff
net.electronic.alarmclock
com.finchpeach.heartrate
com.finchpeach.weatherpro
net.dotcom.cpuinfo
com.finchpeach.wifihotspotfree
net.brscreen.filter
com.evin.translator
com.dorilradio.ua
com.dorilradio.ir
com.dorilradio.pk
com.dorilradio.sm
com.dorilradio.me
com.dorilradio.sv
com.dorilradio.sr
com.dorilradio.sk
com.dorilradio.sl
com.dorilradio.sg
com.dorilradio.py
com.dorilradio.pr
com.dorilradio.pa
com.dorilradio.mc
com.dorilradio.lu
com.dorilradio.lt
com.dorilradio.lv
com.dorilradio.li
com.dorilradio.de
com.dorilradio.kr
com.dorilradio.is
com.dorilradio.il
com.dorilradio.hn
com.dorilradio.ht
com.dorilradio.gh
com.dorilradio.hn
com.dorilradio.ht
com.dorilradio.gh
com.dorilradio.ec
com.dorilradio.fi
com.dorilradio.doo
com.dorilradio.cz
com.dorilradio.cy
com.dorilradio.cr
com.dorilradio.bo
com.dorilradio.th
com.dorilradio.br
com.dorilradio.gr
com.dorilradio.es
com.dorilradio.nl
com.dorilradio.be
com.dorilradio.id
com.dorilradio.pl
com.dorilradio.tr
com.dorilradio.mx
com.dorilradio.gt
com.dorilradio.hu
com.dorilradio.nz
com.dorilradio.pt
com.dorilradio.ch
com.dorilradio.ro
com.dorilradio.rs
com.dorilradio.eg
com.dorilradio.lk
com.dorilradio.my
com.dorilradio.tn
com.dorilradio.tw
com.dorilradio.no
com.dorilradio.za
com.dorilradio.ba
com.dorilradio.bg
com.dorilradio.hr
com.dorilradio.dk
com.dorilradio.in
com.dorilradio.ie
com.dorilradio.ph
com.dorilradio.ar
com.dorilradio.cl
com.dorilradio.co
com.dorilradio.ve
com.dorilradio.sn
com.dorilradio.uy
com.dorilradio.ma
com.dorilradio.se
com.dorilradio.ng
com.dorilradio.dz
com.dorilradio.ke
com.dorilradio.it
com.dorilradio.cn
com.dorilradio.ca
com.dorilradio.jp
com.dorilradio.fr
com.dorilradio.au
com.dorilradio.uk
com.dorilradio.us

Sebbene Google Play sia la fonte più sicura delle applicazioni per smartphone e tablet Android, ci possono infiltrarsi vari software dannosi e indesiderati. A questo riguardo, gli specialisti Doctor Web consigliano ai proprietari di dispositivi mobili di prestare attenzione ai commenti degli altri utenti che potrebbero indicare che è meglio evitare l'installazione di qualche software, e inoltre di scaricare i software soltanto dei noti sviluppatori. Android.Spy.305.origin viene rilevato e rimosso con successo tramite i prodotti antivirus Dr.Web per Android, dunque il trojan non è pericoloso per i nostri utenti.