Nelle scorse ore, i ricercatori della security house giapponese Trend Micro hanno scoperto un pericoloso virus per dispositivi Android che, oltre a rubare, criptare, e cancellare i dati degli utenti, riuscirebbe anche a spiarli, sia acusticamente, che visivamente.
Per gli esperti di Trend Micro, tutto è iniziato in Israele, ove al momento si concentra la quasi totalità dei terminali infetti: il virus in questione, di nome “GhostCtrl”, dopo aver aggredito i computer di alcune organizzazioni sanitarie, si sarebbe dedicato ai device mobili dei relativi dipendenti. Questo sarebbe possibile in quanto GhostCtr, le cui prime avvisaglie sono emerse nel Novembre 2015, sarebbe una derivazione di OmniRAT, un trojan ad accesso remoto (appunto, RAT) capace di colpire anche Linux, MacOS, e Windows.
Il modo in cui GhostCtrl si diffonderebbe è molto semplice e prevede l’azione combinata di portali controllati dagli hacker, ove sarebbero messe a disposizione applicazioni apk infette, e del medesimo Play Store ufficiale, nel quale verrebbero mostrati annunci ad app famose (es. WhatsApp, Pokémon Go, Candy Crush Saga, etc) ma “adulterate” col malware di cui sopra.
Una volta scaricata una di queste app, il virus entrerebbe in azione e comunicherebbe col server di controllo e comando remoto, in forma criptata, onde ricevere le istruzioni sui danni da compiere: nello specifico, GhostCtrl – a seconda della variante contratta – sarebbe capace di cancellare file e directory, di rubare informazioni preziose (cronologia del browser, preferiti, contatti, foto e video), di spiare il proprietario del terminale (intercettando gli sms provenienti da determinati numeri, scattando foto, girando video, o registrando il sonoro), di prendere il controllo (dopo il root di sistema) dei sensori del device (Bluetooth, Wi-Fi, magari facendo connettere a device terzi) e del terminale intero (cambiando le suonerie, attivando la vibrazione, facendo partire telefonate ed sms occultati verso numerazioni particolari) e, ovviamente, molto altro.
Peccato che in quel molto altro vi siano anche funzionalità da “ransomware”: in questo caso, il virus GhostCtrl espellerebbe l’utente dai suoi account, resettandoli, cancellerebbe il PIN del dispositivo, rinominerebbe i file, e mostrerebbe una schermata che, nell’impedire l’accesso al dispositivo, richiederebbe anche un riscatto.
Contro l’azione di GhostCtrl, gli esperti di sicurezza raccomandano di aggiornare Android, di valutare con prudenza le autorizzazioni che si concedono alle app, e di prestare attenzione ai siti ed alla reputazione delle app che si intende installare sul proprio device Android.