IT-Alert: D3Lab scopre malware Android che finge di essere il servizio di allarme pubblico
Il Threat Intelligence Team di D3Lab, azienda di sicurezza informatica, nel corso delle sue attività di analisi e contrasto alle frodi online ha rilevato la diffusione di un malware Android attraverso un falso servizio di allarme pubblico IT-Alert.
Quest’ultimo, in particolare, è un nuovo sistema di informazione diretta alla popolazione, che dirama ai telefoni cellulari di una determinata area geografica messaggi utili in caso di gravi emergenze o catastrofi imminenti o in corso.
Tornando al malware Android, in questo caso l’hacker ha realizzato un dominio ad hoc con un template grafico in cui è presente la seguente didascalia: “A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita.”.
Gli utenti Android, dunque, sono invitati a scaricare un’applicazione malevola (nel caso in cui il sito web fosse visitato da un dispositivo desktop o iOS, l’utente è rimandato al sito ufficiale di IT-Alert). Una volta cliccato sul pulsante predisposto per il download, viene scaricato il file IT-Alert.apk, che installa sullo smartphone un malware della famiglia SpyNote.
Si tratta di uno spyware con funzionalità RAT che prende di mira gli istituti finanziari. Il malware, noto dal 2022, si è evoluto fino a raggiungere la sua terza versione (SpyNote.C) ed è venduto usualmente attraverso Telegram dal suo creatore CypherRat.
Una volta avviata, l’applicazione richiede all’utente di eseguire l’applicazione in background e di garantire all’hacker il pieno controllo dello smartphone, tramite i servizi di accessibilità. Questi sono utilizzati da SpyNote per impedire agli utenti di disinstallare le applicazioni o installarne nuove.
Inoltre, il malware può cliccare sui pulsanti delle app (ad esempio, “login” o “recupera password“), accedere alla fotocamera del dispositivo e inviare video e foto direttamente al server Command-and-Control (C&C), in modo da estrarre le informazioni personali dal dispositivo infetto.
SpyNote è, altresì, in grado di rubare le credenziali dell’utente, siano esse di applicazioni bancarie o di social. Ciò avviene inducendo gli utenti a inserire le loro credenziali durante il processo di login su pagine web false, con layout personalizzati, che assomigliano al servizio legittimo impersonato, come avviene con gli attacchi overlay.
Il malware, infine, è in grado di sfruttare la funzione di Accessibilità per ottenere codici di autenticazione a due fattori (2FA).
Proprio per questi motivi, D3Lab ha invitato gli utenti a prestare particolare attenzione e a non installare nuove applicazioni che non provengono dagli store ufficiali.
Per rimanere sempre aggiornati sui nuovi post di TelefoniaTech è possibile unirsi gratis ai canali ufficiali di Telegram e Whatsapp.
Se questo post vi è piaciuto, condividetelo sui vostri social e seguite TelefoniaTech anche su Google News, Facebook, X e Instagram.
Questo post può contenere link di affiliazione, attraverso i quali ogni acquisto o ordine effettuato permette a questo sito di guadagnare una commissione. In qualità di affiliati Amazon e di altri store terzi, otteniamo una commissione sugli acquisti idonei, senza alcun costo aggiuntivo per l'utente.
