Possedendo un device Android, è ben difficile potersi mettere l’animo in pace di fronte ai continui assalti degli hacker. A tal proposito, una security house californiana ha avvisato gli utenti di una nuova minaccia che prenderebbe di mira i terminali animati dalle vecchie versioni del robottino verde anche se, al rischio di venire spiati, sarebbero esposti anche quelli più attuali.
La notizia è apparsa nelle scorse ore, pubblicata in un bollettino della “Palo Alto Networks”, un’azienda di Santa Clara, attiva nel ramo della sicurezza informatica con diversi prodotti ad hoc: nello specifico, i ricercatori americani avrebbero riscontrato l’azione del malware “SpyDealer” che, oltre a rubare la rubrica telefonica, opererebbe del vero e proprio stalking remoto.
SpyDealer, in verità, è attivo dall’Ottobre del 2015 e, nel corso del tempo, è stato rilevato in 1.046 varianti: attualmente, però, sarebbero attive solo 3 varianti, comunque più pericolose in quanto aggiornate con nuove funzionalità. Oltre a copiare e inviare in remoto l’intero contenuto della rubrica telefonica, le versioni 9.1, 9.2, e 9.3 di SpyDealer sono capaci di ottenere – grazie al tool “Baidu Easy Root” – i diritti di superuser del dispositivo infettato e, dal quel momento, riescono a scattare foto, girare video, effettuare screenshot del display, e ricevere comandi tramite SMS, TCP, e UDP.
A seguito di questi ordini remoti, SpyDealer procede a spiare le conversazioni in una miriade (40) di applicazioni, tra cui Facebook, Skype, Telegram, WhatsApp, senza trascurare altre applicazioni sociali molto diffuse in Cina (come Sina Weibo, WeChat, Line, QQ, e Taobao) ove, infatti, si concentra la gran parte delle vittime attuali di questo malware.
Secondo gli esperti, SpyDealer – grazie al già citato Baidu Easy Root – sortirebbe i danni maggiori sui device con Android dalla versione 4.4 alla 2.2 (circa 1/4 degli smartphone del robottino verde) ma, anche senza acquisire i privilegi di amministrazione superiore, riuscirebbe comunque a saccheggiare le informazioni di base del terminale compromesso.
A quanto pare, in questo caso, il canale utilizzato per diffondere il malware non è stato il Play Store di Android: gli hacker, infatti, avrebbero usato delle app compromesse con nomi plausibili, come “GoogleService” e “GoogleUpdate”, diffuse in store e directory “alternative”, per entrare nei dispositivi mobili degli utenti. Il consiglio, per siffata minaccia nota come “SpyDealer”, è – quindi – di privilegiare il Play Store come fonte delle proprie applicazioni, e di non abilitare l’installazione di file apk da “fonti sconosciute”.