Un Trojan proveniente dagli annunci pubblicitari di Google

Potete essere infettati da un Trojan anche se visitate siti web legittimi. Questo post vi spiega come succede e cosa dovreste fare per proteggervi.

Se non visitate siti sospetti, non correte il rischio di essere attaccati dai malware, giusto? Beh, no. Sfortunatamente nemmeno le persone che non aprono allegati sospetti delle mail, che evitano di visitare siti porno e che non installano app dagli store non ufficiali sono protetti.

A Trojan from Google ads

Nuovi sviluppi suggeriscono che si possono trovare malware anche sui siti legittimi. Questo è quello che è accaduto a 318.000 utenti Android quando hanno scoperto che, dopo aver aperto gli annunci pubblicitari di Google AdSense, i propri dispositivi Android erano stati attaccati dal Trojan bancario Sypeng.q.

Google AdSense è la più grande rete di annunci pubblicitari del mondo; per questo, tanti criminali sognano di poter utilizzare la rete per diffondere i propri programmi dannosi nel mondo. I creatori di Sypeng.q sono riusciti a farlo.

I banner pubblicati dai criminali hanno lanciato il download automatico del pacchetto di installazione di Sypeng.q con l’aiuto di uno script fortemente offuscato. In genere, Chrome avvisa gli utenti nel momento in cui viene scaricato un file potenzialmente pericoloso; per questo i criminali hanno utilizzato una funzione speciale per fare in modo che il dispositivo scaricasse il Trojan in più parti, permettendogli di passare inosservato.

Lo script era stato impostato per agire solo quando fosse stato lanciato sui dispositivi touch screen e su Chrome. Ecco come i criminali hanno ristretto la cerchia dei destinatari del Trojan agli utenti di tablet e smartphone Android (perché il Trojan Sypeng.q è stato scritto per Android).

Potete leggere ulteriori informazioni su Sypeng.q nel report dettagliato pubblicato su Securlist. Per farla breve, non è poi molto diverso dagli altri Trojan bancari; la sua funzione principale è di sovrapporre le interfacce di mobile banking con altre interfacce false, copiare i dati delle carte di credito e inviare i dati ai criminali. I criminali usano a turno queste informazioni per rubare il denaro delle vittime.

Abbiamo comunicato le nostre scoperte a Google e gli sviluppatori hanno risolto il problema su Google Chrome che permetteva al Trojan di bypassare le notifiche di sicurezza.

È importante dire che se scaricate Sypeng, non sarete necessariamente infetti. Bisogna installarlo e il Trojan farà poi del suo meglio per ingannarvi. Ad esempio, il file d’installazione potrebbe chiamarsi Aggiornamento_Android_6.apk o Instagram.apk. Questa tattica sembra funzionare bene per i cybercriminali.

Como proteggervi dai Trojan che si nascondono negli annunci pubblicitari

Anche i siti legittimi possono involontariamente mettervi a rischio. Per proteggervi, seguite queste linee guida:

1. Non aprite mai file se non siete sicuri di come sono stati scaricati sul vostro dispositivo. Solo perché un file si chiama aggiornamento_android.apk non significa che questo contenga un aggiornamento di sistema. Potete scoprire se esiste un aggiornamento legittimo del sistema controllando le informazioni del dispositivo nelle Impostazioni.

2. Non installate app da store di terzi. Anche i gadget Android includono questa impostazione. In questo modo, anche se avete accettato per sbaglio l’installazione di uno pseudo aggiornamento, il sistema lo bloccherà.

3. Installate aggiornamenti veri non appena sono disponibili. Inoltre, aggiornate Google Chrome su tutti i vostri dispositivi Android il prima possibile. L’aggiornamento è rapido e vi potrebbe far risparmiare tempo, problemi e anche denaro.

4. Utilizzate un antivirus su tutti i dispositivi. In casi come questi, una soluzione di sicurezza in tempo reale può proteggere l’utente (a differenza delle scansioni antivirus su richiesta, che devono essere avviate manualmente). Sypeng sa come “uccidere” i processi delle soluzioni di sicurezza più famose e di conseguenza si bloccano le scansioni. Al contrario, la versione a pagamento di Kaspersky Antivirus & Security per Android rileva Sypeng come Trojan.Banker.Androidos.Svpeng.Q e lo blocca facilmente.

Consigli