Iscriviti

Scoperto nuovo spyware con intercettazioni ambientali ai danni degli smartphone

Un nuovo spyware è stato scoperto aggirarsi negli smartphone Android, con un meccanismo di diffusione ancora poco chiaro, forse con connessioni verso un importante gruppo di hacker russi: ecco come tutelarsi.

Software e App
Pubblicato il 4 aprile 2022, alle ore 11:06

Mi piace
1
0
Scoperto nuovo spyware con intercettazioni ambientali ai danni degli smartphone

Ascolta questo articolo

Dopo la scoperta di un virus particolarmente ghiotto delle credenziali social degli utenti, e di un vero e proprio assalto agli investitori in criptovalute, è di nuovo tempo di un’emergenza in seno alla sicurezza informatica mobile, vista la scoperta di un nuovo malware, ancora senza nome, ma (probabilmente) russo, in grado di eseguire un vero e proprio spionaggio-stalkeraggio.

Negli scorsi giorni, la security house spagnola Lab52 ha scoperto un’app per Android, quindi in formato apk, dal nome “Process Manager“, di cui non è noto il meccanismo di diffusione che, una volta installata sul dispositivo dell’utente, dopo un po’ tenderebbe a nascondere la sua icona a forma di ingranaggio, studiata per apparire come un’app di sistema dedicata alle impostazioni. A quel punto, o avvalendosi del servizio di accessibilità per concedersele da sola, o inducendo l’utente a farlo, acquisirebbe qualcosa come 18 autorizzazioni.

Grazie a queste ultime potrebbe conoscere la posizione del dispositivo, lo stato della rete Wi-Fi cui si connette, leggere gli SMS, leggere e scrivere sulla memoria esterna del dispositivo, usare la fotocamera per scattare foto o registrare video, registrare le telefonate, attivare il microfono per intercettazioni ambientali, inviare gli SMS, accedere ai servizi in primo piano, etc. 

I dati verrebbero inviati, in formato JSON, ad un server remoto di comando e controllo in passato adoperato anche dagli hacker russi di Turla, sovvenzionati dal Cremlino per attaccare istituzioni in America ed Europa: tuttavia, alcuni aspetti strani sembrerebbero scoraggiare quest’attribuzione. Una volta installatasi e nascosta, l’app Process Manager tenderebbe a mostrare una notifica persistente in alto, che rendiconta del fatto è che è in funzione, in background (il che è strano quando si tratta di operazioni di spionaggio, ovvero di Advanced Persistent Threat). 

Inoltre, l’app in questione installerebbe anche altri payload (forse per depistare i sospetti), tipo la popolare (circa10mila download) “Roz Dhan: Earn Wallet cash“, che promette facili guadagni mediante il meccanismo d’affiliazione in stile Ponzi, che risulta installarsi tramite il codice di riferimento di Process Manager, quasi che gli hacker intendano guadagnare dalla sua diffusione

Al momento, gli esperti di sicurezza consigliano agli utenti di tenersi all’erta, controllando la sezione delle autorizzazioni, e revocando quelle concesse ad app poco fidate, poco conosciute, o non più necessarie (fermo restando che, in sede di installazione, è sempre bene chiedersi se sia coerente che una data app ottenga una particolare autorizzazione). Inoltre, è bene prestare attenzione agli indicatori di fotocamera e microfono in uso, implementati con le recenti versioni di Android: nel caso risultassero visibili, e non si avesse in primo piano alcuna app a utilizzare fotocamera e microfono, potrebbe essere un chiaro segnale della presenza del succitato spyware nel proprio telefono.

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - Curioso quest'attacco: i meccanismi di spionaggio ci sono, e potrebbe c'entrare in qualche modo la crew di Turla. Però è pur vero che alcune dabbenaggini, tipo la notifica persistente, non è tipica di hacker esperti in certi tipi di attacchi. È lecito comunque chiedersi se quest'aspetto e l'app di installazione non siano un tentativo di depistaggio.

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!