In un blog post, Kaspersky Lab ha avvisato tutti gli utenti Android che sono a rischio virus.

Il software malevolo in questo caso è un trojan, ma, al contrario di altri virus, non viene scaricato sul proprio dispositivo se si legge un file infetto allegato alla posta e nemmeno se si finisce su un sito equivoco: stavolta basta cliccare sugli annunci pubblicitari di Google usando il browser Chrome nei dispositivi Android.

La brutta esperienza ha finora colpito 318.000 utenti Android che hanno visitato siti legittimi dopo aver aperto gli annunci pubblicitari di Google AdSense, attaccati dal trojan bancario Sypeng.q.

Cosa combina il trojan bancario Sypeng.q

Il trojan Sypeng è in grado di rubare i dati delle carte di credito, di accedere al registro delle chiamate, alla messaggistica, ai segnalibri del browser e ai contatti. Il malware è stato inizialmente diffuso nei paesi di lingua russa, ma a causa della particolare dinamica della sua distribuzione, ha messo a rischio milioni di pagine web che utilizzano AdSense per visualizzare messaggi pubblicitari.

Come funziona il trojan bancario Sypeng.q

I banner pubblicati dai criminali hanno lanciato il download automatico del pacchetto di installazione di Sypeng.q con l’aiuto di uno script fortemente offuscato. Così, anche se Chrome avvisa gli utenti nel momento in cui viene scaricato un file potenzialmente pericoloso non era facile accorgersene, anche perché i cybercriminali hanno utilizzato una funzione speciale per fare in modo che il dispositivo scaricasse il trojan in più parti, permettendogli di passare inosservato.

Lo script era stato impostato per agire solo quando fosse stato lanciato sui dispositivi touch screen e su Chrome.

Come si fa a fermare il virus

Il Trojan bancario Sypeng.q. non è poi molto diverso dai consimili: la sua funzione principale è di sovrapporre le interfacce di mobile banking con altre interfacce false, copiare i dati delle carte di credito e inviare i dati ai criminali che così possono agire indisturbati.

Per fermare il trojan bancario Sypeng.q. bisogna aggiornare Chrome sul proprio Android e non cliccare la pubblicità infetta di Google AdSense

Kaspersky Lab ha subito avvisato Google e pare che gli sviluppatori abbiano risolto velocemente il problema che permetteva al trojan di bypassare le notifiche di sicurezza evitando che il browser visualizzasse l’avviso che avverte dello scaricamento di un elemento potenzialmente pericoloso, come nel download di un file Apk da un link esterno.

Attenti alle installazioni

Per essere infettati però bisogna installare il trojan e pertanto non tutti quelli che hanno involontariamente scaricato Sypeng cliccando sugli ads sono stati infettati. Importante allora fare attenzione ai file d’installazione che potrebbero chiamarsi, Aggiornamento_Android_6.apk oppure Instagram.apk, che invitano l’utente ad avviare l’installazione, presentandosi come importante aggiornamento del browser o di un’applicazione conosciuta. Una volta lanciato, il malware scompare dalla lista delle app installate e chiede all’utente i diritti di amministrazione del device, rendendone più difficile la rilevazione.

Kaspersky Lab, che sta collaborando con Google alla risoluzione del problema, ha reso noto che la patch sarà disponibile nel prossimo aggiornamento di Chrome per Android.

Nel frattempo, ecco i consigli per evitare di essere infettati.