Dopo la scoperta di un virus particolarmente ghiotto delle credenziali social degli utenti, e di un vero e proprio assalto agli investitori in criptovalute, è di nuovo tempo di un’emergenza in seno alla sicurezza informatica mobile, vista la scoperta di un nuovo malware, ancora senza nome, ma (probabilmente) russo, in grado di eseguire un vero e proprio spionaggio-stalkeraggio.
Negli scorsi giorni, la security house spagnola Lab52 ha scoperto un’app per Android, quindi in formato apk, dal nome “Process Manager“, di cui non è noto il meccanismo di diffusione che, una volta installata sul dispositivo dell’utente, dopo un po’ tenderebbe a nascondere la sua icona a forma di ingranaggio, studiata per apparire come un’app di sistema dedicata alle impostazioni. A quel punto, o avvalendosi del servizio di accessibilità per concedersele da sola, o inducendo l’utente a farlo, acquisirebbe qualcosa come 18 autorizzazioni.
Grazie a queste ultime potrebbe conoscere la posizione del dispositivo, lo stato della rete Wi-Fi cui si connette, leggere gli SMS, leggere e scrivere sulla memoria esterna del dispositivo, usare la fotocamera per scattare foto o registrare video, registrare le telefonate, attivare il microfono per intercettazioni ambientali, inviare gli SMS, accedere ai servizi in primo piano, etc.
I dati verrebbero inviati, in formato JSON, ad un server remoto di comando e controllo in passato adoperato anche dagli hacker russi di Turla, sovvenzionati dal Cremlino per attaccare istituzioni in America ed Europa: tuttavia, alcuni aspetti strani sembrerebbero scoraggiare quest’attribuzione. Una volta installatasi e nascosta, l’app Process Manager tenderebbe a mostrare una notifica persistente in alto, che rendiconta del fatto è che è in funzione, in background (il che è strano quando si tratta di operazioni di spionaggio, ovvero di Advanced Persistent Threat).
Inoltre, l’app in questione installerebbe anche altri payload (forse per depistare i sospetti), tipo la popolare (circa10mila download) “Roz Dhan: Earn Wallet cash“, che promette facili guadagni mediante il meccanismo d’affiliazione in stile Ponzi, che risulta installarsi tramite il codice di riferimento di Process Manager, quasi che gli hacker intendano guadagnare dalla sua diffusione.
Al momento, gli esperti di sicurezza consigliano agli utenti di tenersi all’erta, controllando la sezione delle autorizzazioni, e revocando quelle concesse ad app poco fidate, poco conosciute, o non più necessarie (fermo restando che, in sede di installazione, è sempre bene chiedersi se sia coerente che una data app ottenga una particolare autorizzazione). Inoltre, è bene prestare attenzione agli indicatori di fotocamera e microfono in uso, implementati con le recenti versioni di Android: nel caso risultassero visibili, e non si avesse in primo piano alcuna app a utilizzare fotocamera e microfono, potrebbe essere un chiaro segnale della presenza del succitato spyware nel proprio telefono.