Il team di D3Lab ha recentemente rilevato la diffusione di un malware Android, veicolato tramite un finto portale del servizio di allarme pubblico IT-Alert, quello realizzato per diramare messaggi utili in caso di gravi emergenze o catastrofi imminenti agli smartphone presenti nell’area geografica di interesse (tramite tecnologia Cell Broadcast).
Il malintenzionato ha realizzato un portale ad hoc con grafica abbastanza credibile in cui avvisa gli utenti di un’imminente eruzione vulcanica tale da causare un terremoto nazionale, invitandoli a scaricare un’app per monitorare la situazione. Peccato che sia tutta una messa in scena, e l’app serva solo per veicolare il malware SpyNote. Scopriamo tutti i dettagli.
Indice:
Il malware SpyNote torna a minacciare gli utenti Android
Non è la prima volta che malintenzionati cercano di sfruttare a proprio vantaggio il sistema IT-Alert, il sistema nazionale di allarme pubblico i cui test sono iniziati lo scorso 28 giugno e poi ripresi a metà del mese di settembre.
Stavolta, però, non si tratta di semplici falsi allarmi diffusi tramite SMS ma di un pericoloso malware Android, SpyNote per la precisione, uno dei volti noti che, spesso e volentieri, torna a minacciare gli utenti, veicolato tramite un’applicazione.
La diffusione tramite un finto portale IT-Alert
Il malintenzionato di turno, come anticipato in apertura, ha realizzato ad hoc un finto portale IT-Alert che invita gli utenti allo scaricamento (effettivamente questo potrebbe essere un primo campanello d’allarme) di un’applicazione per monitorare una imminente catastrofe:
IT-alert
A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita.
Fate attenzione e non scaricate quest’app
Il portale in questione, invita esclusivamente gli utenti Android a scaricare l’applicazione che in realtà è malevola. Qualora, invece, il sito web in questione venga visitato da un dispositivo desktop o tramite un iPhone, l’utente viene rimandato al sito ufficiale di IT-Alert.
Cliccando su “Scaricamento“, sullo smartphone verrà scaricato il pacchetto APK IT-Alert.apk: una volta che l’app è stata installata e avviata, essa richiede all’utente il permesso per l’esecuzione in background e di garantire all’app il pieno controllo dello smartphone attraverso i servizi di accessibilità.
In questo modo, il malintenzionato (tramite l’app) può monitorare, gestire e modificare le risorse e le funzionalità del dispositivo, garantendosi anche una porta d’ingresso per l’accesso remoto.
Cosa è in grado di “rubare” il malware SpyNote
SpyNote è uno spyware con funzionalità RAT creato da CypherRat che, di norma, prende di mira gli istituti finanziari. Nell’ultimo anno e mezzo, dalla nascita, si è evoluto raggiungendo la terza versione (SpyNote.C). Il malware sfrutta i servizi di accessibilità per rendere difficile agli utenti la disinstallazione dell’app ma anche pratiche di routine come aggiornare le app già installate o installarne di nuove.
Avendo il pieno controllo dello smartphone, senza la necessità dell’interazione dell’utente, SpyNote può navigare il sistema indisturbato, consentendo al malintenzionato di rubare credenziali e di accedere alla fotocamera del dispositivo per inviare foto o video ed estrarre tutte le informazioni utili al suo scopo dal dispositivo infetto. Viene catalogato come spyware proprio perché, in sintesi, può spiare l’utente.
Come anticipato, il malware è in grado di rubare le credenziali dell’utente, tanto quelle dei social quanto quelle delle applicazioni bancarie. Per fare ciò, mette in atto una pratica piuttosto subdola: l’utente viene ingannato e indotto a inserire le credenziali per accedere a un servizio tramite pagine web fittizie che somigliano molto a quelle originali. Inoltre, sempre grazie all’accesso completo agli strumenti di accessibilità, può perfino ottenere i codici per la autenticazione a due fattori (2FA).
Come sempre in questi casi, vi invitiamo a fare molta attenzione e a non installare applicazioni che non provengano dagli store ufficiali (come Google Play Store, nel caso dei dispositivi Android): i servizi di protezione come Google Play Protect sono costantemente istruiti dal team di sicurezza di Google per riconoscere app malevole. Inoltre, prima che un’app venga accettata sullo store, deve passare i “controlli di sicurezza”, sempre più performanti grazie all’ausilio dell’intelligenza artificiale.
Potrebbero interessarti anche: Google ci spiega come i malware eludono i controlli di sicurezza del Play Store e App malware su smartphone Android? I consigli per proteggersi