[Dr.Web] Più di 100 applicazioni di Google Play nascondo uno spyware

I laboratori Dr.Web hanno individuato un nuovo tipo di spyware, chiamato Android.Spy.277.origin, presente in più 100 applicazioni sul Google Play Store.Quasi tutte le app utilizzate per diffondere questo trojan sono false versioni di applicazioni realmente esistenti: utilizzano nomi ed icone di applicazioni note, spesso programmi di elaborazione grafica per immagini, programmi di gestione sfondi ed altre applicazioni grafiche.

Secondo i laboratori Dr.Web, più di 3.200.000 utenti hanno scaricato queste applicazioni corrotte

Le applicazioni in questione, una volta lanciate, raccolgono le seguenti informazioni  

• indirizzo Email collegato all’account Google dell’utente;
• identificativo IMEI;
• versione del sistema operativo;
• versione dell’SDK di sistema;
• modello del dispositivo;
• risoluzione dello schermo;
• identificatore Google Cloud Messaging;
• numero di telefono;
• geolocalizzazione dell’utente;
• tipo di CPU;
• indirizzo MAC
• disponibilità di accesso come root;

Questi dati vengono inviati al server C&C ogniqualvolta venga lanciata un’applicazione. Il server in risposta invia svariati comandi al trojan che esegue le seguenti azioni:
 

• abilitare o disabilitare la registrazione di log;
• installare un plugin nascosto all’interno dell’applicazione infetta;
• mostrare diversi tipi di avvisi pubblicitari in forma di finestre di dialogo, sia al di sopra dell’interfaccia del sistema operativo, sia in alcune app, o nella barra delle notifiche;
• mostrare una notifica con i parametri ricevuti;
• creare collegamenti sulla schermata home a sezioni specifiche di Google Play;
• aprire una pagina Web con un indirizzo specifico di Google Play;
• aprire una pagina Web specifica in un browser preinstallato;
• aprire una pagina Web specifica in Chrome;
• aprire una pagina Facebook specifica.

Il trojan può inviare messaggi fasulli come ad esempio un falso avviso concernente lo stato della batteria, per spingere l’utente a scaricare altre applicazioni dannose, come mostrano le figure seguenti

 

Una volta che il trojan riceve le istruzioni dal server, prova ad installare plug-in , occultati come un aggiornamento importante. Il dispositivo inoltre contiene due copie del Trojan Android.Spy.277.origin, in modo che, anche se una copia venisse cancellata, il Trojan continua a inviare notifiche.

Il Trojan attualmente ha compromesso le seguenti applicazioni:

• com.true.icaller
• com.appstorenew.topappvn
• com.easyandroid.free.ios6
• com.entertainmentphotoedior.photoeffect
• lockscreenios8.loveslockios.com.myapplication
• com.livewallpaper.christmaswallpaper
• com.entertainment.drumsetpro
• com.entertainment.nocrop.nocropvideo
• com.entertainment.fastandslowmotionvideotool
• com.sticker.wangcats
• com.chuthuphap.xinchu2016
• smartapps.cameraselfie.camerachristmas
• com.ultils.scanwifi
• com.entertainmenttrinhduyet.coccocnhanhnhat
• com.entertainment.malmath.apps.mm
• com.newyear2016.framestickertet
• com.entertainment.audio.crossdjfree
• com.igallery.styleiphone
• com.crazystudio.mms7.imessager
• smartapps.music.nhactet
• com.styleios.phonebookios9
• com.battery.repairbattery
• com.golauncher.ip
• com.photo.entertainment.blurphotoeffect.photoeffect
• com.irec.recoder
• com.Jewel.pro2016
• com.tones.ip.ring
• com.entertainment.phone.speedbooster
• com.noelphoto.stickerchristmas2016
• smartapps.smstet.tinnhantet2016
• com.styleios9.lockscreenchristmas2016
• com.stickerphoto.catwangs
• com.ultils.frontcamera
• com.phaotet.phaono2
• com.video.videoplayer
• com.entertainment.mypianophone.pianomagic
• com.entertainment.vhscamcorder
• com.o2yc.xmas
• smartapps.musictet.nhacxuan
• com.inote.iphones6
• christmas.dhbkhn.smartapps.christmas
• com.bobby.carrothd
• om.entertainment.camera.fisheyepro
• com.entertainment.simplemind
• com.icall.phonebook.io
• com.entertainment.photo.photoeditoreffect
• com.editphoto.makecdcover
• com.tv.ontivivideo
• smartapps.giaixam.gieoquedaunam
• com.ultils.frontcamera
• com.applock.lockscreenos9v4
• com.beauty.camera.os
• com.igallery.iphotos
• com.calculator.dailycalories
• com.os7.launcher.theme
• com.trong.duoihinhbatchu.chucmungnammoi
• com.apppro.phonebookios9
• com.icamera.phone6s.os
• com.entertainment.video.reversevideo
• com.entertainment.photoeditor.photoeffect
• com.appvv.meme
• com.newyear.haitetnew
• com.classic.redballhd
• com.entertainmentmusic.musicplayer.styleiphoneios
• com.camera.ios8.style
• com.countdown.countdownnewyear2016
• com.photographic.iphonecamera
• com.contactstyle.phonebookstyleofios9
• com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect
• com.color.christmas.xmas
• com.bottle.picinpiccamera
• com.entertainment.videocollagemaker
• com.wallpaper.wallpaperxmasandnewyear2016
• com.ultils.lockapp.smslock
• com.apppro.phonebookios9
• com.entertainment.myguitar.guitarpro
• com.sticker.stickerframetet2016
• com.bd.android.kmlauncher
• com.entertainment.batterysaver.batterydoctor
• com.trong.jumpy.gamehaynhatquadat
• com.entertainmentphotocollageeditor
• smartapps.smsgiangsinh.christmas2016
• smartapps.musicchristmas.christmasmusichot
• com.golauncher.ip
• com.applock.lockscreenos9v4
• com.imessenger.ios
• com.livewall.paper.xmas
• com.main.windows.wlauncher.os.wp
• com.entertainmentlaunchpad.launchpadultimate
• com.fsoft.matchespuzzle
• com.entertainment.photodat.image.imageblur
• com.videoeditor.instashot
• com.entertainment.hi.controls
• com.icontrol.style.os
• smartapps.zing.video.hot
• com.photo.entertainment.photoblur.forinstasquare
• com.entertainment.livewallpaperchristmas
• com.entertainment.tivionline
• com.iphoto.os
• com.tool.batterychecker
• com.photo.multiphotoblur
• smartapps.nhactet.nhacdjtet
• com.runliketroll.troll
• com.jinx.metalslug.contra

Doctor Web consiglia caldamente agli utenti Android di prestare molta attenzione alle applicazioni che vogliono scaricare e installare solo programmi sviluppati da compagnie note. Dr. Web per Android può identificare e eliminare tutte le varianti di  Android.Spy.277.origin.