martedì 30 luglio 2013

Nuovi trojan su Google Play: probabili 25000 download


Doctor Web — produttore russo di software antivirus — comunica di aver scoperto nel catalogo Google Play alcuni programmi malevoli che installano sui dispositivi mobili trojan della famiglia Android.SmsSend, un tipo di malware che invia dal cellulare messaggi a pagamento svuotando il conto dell'utente. L'incidente è stato riferito subito alla società Google.


I programmi individuati dagli specialisti di Doctor Web sono stati creati da uno sviluppatore vietnamita, con il nome di AppStore Jsc, e sono due lettori audio e un lettore video che visualizza filmati erotici.




Utilizzando le statistiche di Google Play riportiamo il numero di utenti che hanno installato le applicazioni nella tabella sottostante:

Nome app
Nome pacchetto
Numero download
Phim Sex HD-Free
phimsex.videoxxx.clipsex.phimnguoilon.phimconheo.tinhduc
5000–10000
Zing MP3 - BXH Music
phimsexy.mp3.zing.vn.nhaccuatui.bangxephang.bxh.nhachot
5000–10000
Phim Nguoi Lon - Audio 18+
zingmp3.audio18.truyennguoilon.audiotinhduc
1000–5000

Il numero totale di installazioni delle tre applicazioni è da undici a venticinquemila.

Queste applicazioni non sembrano niente di speciale, però hanno dentro un file apk che è un trojan ideato per l'invio di SMS, membro della famiglia Android.SmsSend. Quando le applicazioni - dropper, nominati da Dr.Web Android.MulDrop, Android.MulDrop.1 e Android.MulDrop.2, sono in esecuzione, potrebbe visualizzarsi una proposta di scaricare contenuti di interesse. Tuttavia se l'utente acconsente, invece del download dei contenuti richiesti, comincia l'installazione di un'altra applicazione. Sulla figura sottostante, per esempio, uno dei dropper propone all'utente di ricevere nuovi filmati erotici.




Se un utente poco prudente accetta l'installazione del programma sospetto, sul dispositivo Android viene installato il trojan Android.SmsSend.517 che invia SMS di nascosto sul numero breve 8775, specificato nel file di configurazione del malware. Va notato che l'applicazione malevola permette effettivamente di guardare video desiderati dall'utente. Ovviamente, questa funzione è stata aggiunta dai malintenzionati affinché l'app susciti meno sospetti.




Per quello che riguarda la seconda e la terza applicazione – dropper, includono il programma Android.SmsSend.513.origin il cui funzionamento è simile a quello di Android.SmsSend.517, ma a differenza di quest'ultimo, i numeri brevi per l'invio di SMS vengono trasmessi al malware dal server di comando.

Google è stata informata dell'incidente. Gli utenti dei prodotti di sicurezza Dr.Web per Android sono completamente protetti da questi malware con le relative definizioni inserite nel database dei virus.

venerdì 26 luglio 2013

Altri aggiornamenti da Dr.Web

Aggiornato Dr.Web per Android Light 7.0

25 luglio 2013

Doctor Web ha aggiornato l'applicazione di sicurezza Dr.Web per Android Light della versione 7.0. Sono state aggiunte nuove possibilità di difesa contro le minacce informatiche, è stata modificata l'interfaccia e sono stati corretti errori individuati. È stato modificato il testo del contratto di licenza in modo da includere la seguente disposizione: l'applicazione invia in modo automatico al server di Doctor Web statistiche delle minacce rilevate e gli indirizzi dei siti web visitati. A questo proposito, dopo aver aggiornato il programma, l'utente deve accettare di nuovo il contratto di licenza.

Dr.Web per Android Light 7.0 ora può rilevare applicazioni che sfruttano le vulnerabilità di Android scoperte di recente 8219321 (master keys) e 9695860 (extra field).

Nelle impostazioni del file monitor SpIDer Guard e della scansione adesso è possibile disattivare il rilevamento di adware e di riskware. Inoltre, il file monitor adesso può riprendere il suo funzionamento dopo una chiusura non autorizzata provocata dal sistema o da un altro oggetto.

È comparsa la possibilità di acquistare la versione completa di Dr.Web per Android immediatamente dalla finestra principale dell'applicazione utilizzando un link apposito. Inoltre, gli utenti russi e ucraini possono accedere al sito del progetto interattivo di formazione WebIQmetro dalla finestra "Informazioni sul programma".

L'aggiornamento corregge errori individuati nel funzionamento di Dr.Web per Android Light: per esempio, prima la scansione avviata si interrompeva al toccare del display sui dispositivi Android 4.0.

Gli utenti di Dr.Web per Android Light riceveranno l’aggiornamento in modo automatico. Se gli aggiornamenti automatici sono disabilitati sul dispositivo, è necessario accedere a Google Play, selezionare Dr.Web Antivirus Light dalla lista applicazioni e cliccare sul pulsante “Aggiorna”.


Se si desidera aggiornare l’applicazione dal sito di Doctor Web, è necessario scaricare la nuova versione (http://download.drweb.com/android).



Aggiornamento di Dr.Web per Android 8.0.4

26 luglio 2013

Doctor Web ha aggiornato l'antivirus Dr.Web per Android alla versione 8.0.4. Nella nuova versione sono state ampliate le funzioni di rilevamento.

Adesso Dr.Web per Android può rilevare applicazioni che sfruttano una falla del sistema operativo Android, scoperta di recente: 9695860 (extra field).

Inoltre, sono state eliminate le cause del possibile crash all'aggiornamento automatico dei database antivirali.
La nuova versione di Dr.Web per Android è disponibile su Google play (Dr.Web Antivirus, Dr.Web Antivirus Life license) e sul sito di Doctor Web (Dr.Web per Android).

Gli utenti di Dr.Web per Android riceveranno l'aggiornamento in modo automatico. Se sul dispositivo sono disattivati aggiornamenti automatici, è necessario entrare su Google play, selezionare Dr.Web Antivirus o Dr.Web Antivirus Life license dalla lista applicazioni e cliccare su "Aggiorna".

Per ottenere l'aggiornamento dal sito di Doctor Web, è necessario scaricare la nuova versione (http://download.drweb.com/android). Se l'opzione "Nuova versione del programma" è abilitata nelle impostazioni dell'antivirus, l'utente viene notificato della disponibilità della nuova versione durante l'aggiornamento dei database antivirali. In questo caso, la nuova versione può essere scaricata direttamente da questa finestra di dialogo.

martedì 23 luglio 2013

Aggiornamenti Dr.Web

Aggiornati componenti di Dr.Web 8.0 per Windows

Doctor Web comunica di aver aggiornato il componente "agent" (8.1.0.201307090) dei prodotti Dr.Web Security Space, Dr.Web Antivirus per Windows e Dr.Web Antivirus per Windows file server della versione 8.0. Sono stati modificati anche il modulo "updater" (8.0.5.06101) e alcune localizzazioni.

È stata eliminata la causa di possibile crash dell'agent al cambio di lingua interfaccia. Nel modulo SpIDer Guard è stato corretto un errore che non consentiva di inserire file nella lista delle eccezioni allo stesso modo di cartelle.

Modifiche interne sono state introdotte nel modulo di aggiornamento Dr.Web Updater.

Sono state fatte piccole correzioni nelle localizzazioni del software, nonché ci è stato aggiunto un testo che rispecchia il nuovo modo per registrare due numeri di serie dei prodotti Dr.Web acquistati in scatola.

L'aggiornamento del software sui computer degli utenti avviene automaticamente, ma si dovrà riavviare la postazione.

Aggiornato Dr.Web Virus Finding Engine 

Doctor Web ha aggiornato alla versione 7.0.5 il nucleo antivirale Dr.Web Virus Finding Engine incluso nei prodotti per i privati Dr.Web Antivirus e Dr.Web Security Space 6.0, 7.0 e 8.0, nei programmi dei gruppi Dr.Web Desktop Security Suite, Dr.Web Server Security Suite, Dr.Web Mail Security Suite, Dr.Web Gateway Security Suite, nel servizio di Internet Dr.Web AV-Desk, nelle utility di cura Dr.Web CureIt! e Dr.Web CureNet!, nonché negli strumenti di ripristino sistema Dr.Web LiveCD e Dr.Web LiveUSB.

Al nucleo Dr.Web Virus Finding Engine, è stata aggiunta la possibilità di scansionare pacchetti di installazione Smart Install Maker, inoltre, sono stati corretti errori nell'analisi di container di email e nel funzionamento dell'emulatore PE e dell'emulatore JS.

L'update si installa automaticamente.

venerdì 12 luglio 2013

Trojan.Carberp: i criminali sono stati condannati

Fonte: http://news.drweb.com/?i=3723&c=5&lng=ru&p=0



9 luglio 2013

Il 21 giugno il tribunale del rione Pechjorsky di Kiev ha condannato a cinque anni di carcere con tre anni di differimento l'organizzatore e due membri del gruppo criminale internazionale che creava e propagava in Russia e Ucraina programmi malevoli della famiglia Trojan.Carberp. Il 19 marzo 2013 le attività di questo gruppo criminale sono state interrotte dal Servizio di sicurezza ucraino a seguito di un'operazione speciale condotta congiuntamente con il Servizio di sicurezza federale russo. Quel giorno sono state arrestate sedici persone implicate nello sviluppo e nella propagazione di uno dei programmi malevoli più pericolosi degli anni recenti.

Negli ultimi due anni, il Trojan.Carberp ha afflitto gli utenti dei sistemi di home banking delle grandi banche russe e ucraine. Questo programma malevolo, sviluppato in Russia alcuni anni fa, era l'elemento centrale di una struttura criminale potente specializzata nei furti di denaro dai conti bancari di aziende e di persone private. I programmatori coinvolti nella produzione del malware perfezionavano non solo il trojan stesso, ma anche moduli addizionali progettati per attacchi ai sistemi di home banking di determinate banche. I tester controllavano se il trojan funzionava correttamente in uno o altro sistema di home banking e se poteva nascondere la sua presenza sul computer dai programmi antivirus. L'amministratore di sistema badava a una comunicazione sicura dei membri del gruppo criminale e manteneva l'infrastruttura della rete malevola composta dai computer infettati dal Trojan.Carberp.

I capi del gruppo criminale vendevano licenze di uso del trojan e del relativo programma di amministrazione ai cosiddetti "partner". Il programma di amministrazione accumulava informazioni sugli utenti dei computer infetti e in base a queste informazioni i criminali decidevano quando e quale furto commettere. Il denaro veniva trasferito dai conti delle vittime ai conti falsi (cosiddetti "drop") da cui in seguito veniva trasferito a favore di ditte controllate dai criminali o veniva prelevato in contanti. Uno dei "partner" ("Hermes", alias "Arashi"), proprietario di una botnet che includeva milioni di computer invasi dal Carberp, è stato arrestato dalle forze di polizia russe a giugno 2012. Dopo questo evento i capi del gruppo criminale hanno spostato i loro interessi dalla Russia all'Ucraina. Da agosto 2012 gli attacchi contro i clienti delle banche ucraine venivano eseguiti su vasta scala. Sebbene i criminali attaccassero le banche nello stesso paese in cui vivevano, si sentivano in completa sicurezza nascosti dietro molteplici canali VPN e canali di comunicazione criptati. Non disdegnavano di tenere traccia dei clienti più "interessanti" tra le vittime dei loro "partner" e rubavano fondi all'insaputa di questi ultimi.

Gli specialisti dal laboratorio antivirale di Doctor Web hanno lavorato per quasi due anni per aiutare la polizia a smascherare i criminali informatici. Esaminavamo di continuo nuovi campioni del trojan pericoloso e studiavamo nuovi vettori di attacco dei malintenzionati. Basti dire che attualmente il database dei virus del software Dr.Web contiene oltre 1200 varianti del trojan Carberp. Grazie alla loro alta qualificazione, i nostri specialisti hanno potuto spiegare molte cose non chiare nell'infrastruttura del Trojan.Carberp e hanno aiutato a identificare molti membri del gruppo criminale. Un reparto speciale di Doctor Web ha interagito diverse volte con le banche russe e ucraine ai fini di impedire il ritiro illegale di denaro rubato.

"Oggi assistiamo a un afflusso di giovani programmatori di talento nelle strutture criminali, - dice Boris Sharov, CEO di Doctor Web. - Ciò è dovuto in gran parte all'opinione diffusa che i creatori e i propagatori dei virus rimangano impuniti. Inoltre, i giovani spesso danno ascolto a promesse generose dei capi criminali e sono attirati da offerte allettanti che in realtà non si materializzeranno mai. Abbiamo osservato tutto questo nel caso degli sviluppatori del Trojan.Carberp. Speriamo che la sentenza emanata dal tribunale di Kiev faccia tornare alla realtà quelle persone che cercano di ottenere denaro facile nel cyberspazio. Oltre a ciò, questa storia non è finita ancora perché la polizia russa ha moltissime domande da fare al gruppo Carberp, forse anche più di quante ne avevano i loro colleghi ucraini. Siamo sicuri che la criminalità informatica verrà punita in ogni sua manifestazione."

mercoledì 10 luglio 2013

BYOD è un problema?

Sempre più spesso si sente parlare di BYOD - Bring Your Own Device.
Si tratta dell'abitudine, sempre più comune, di portare i propri dispositivi personale anche sul luogo di lavoro.
Ci sono dei vantaggi, ma ovviamenti anche preoccupazioni per quanto riguarda la sicurezza.

Articolo: http://blogs.quickheal.com/wp/is-byod-a-concern/
Fonte: Quick Heal Blog