Nei giorni scorsi è stata individuata quella che a tutti gli effetti sembra un’app legittima della compagnia telefonica 3, ma che in realtà nasconde uno spyware molto potente che sta infettando i dispositivi mobile Android degli utenti del famoso provider telefonico, riuscendo a raggiungere i contatti inseriti nella rubrica oltre che leggere il contenuto di app come Instagram, Snapchat, Whatsapp e Telegram.
Lo spyware si presenta come un’applicazione che permetterebbe di aggiornare il sistema operativo Android e per renderla plausibile agli occhi degli utenti è stato utilizzato il logo TRE Italia.
I ricercatori che l’hanno scoperta hanno pubblicato un rapporto intitolato “Fake 3MobileUpdater” nel quale si evince come una volta lanciata l’app, sul display venga visualizzato un messaggio che invita l’utente ad attendere il completamento delle operazioni e nel frattempo l’applicazione si collega a un server inviando informazioni sul dispositivo dal quale comunica, e rimanendo in attesa di istruzioni.
3 Mobile Updater funziona in apparenza come qualsiasi altra applicazione, quindi al momento dell’installazione viene richiesto di fornire determinate autorizzazioni grazie alle quali il malware può accedere alla fotocamera, alla galleria e al registro delle chiamate oltre a sottrarre informazioni dalle app di messaggistica.
Mentre il modus operandi è ormai noto e consolidato, ciò che stupisce questa volta è la paternità del malware che sembrerebbe essere italiana. Analizzato il codice infatti i ricercatori hanno individuato molte stringhe scritte in italiano senza dimenticare che le vittime designate siano utenti di Tre Italia, “forse addirittura alcuni specifici utenti”. Il malware sembrerebbe inoltre ancora in fase sperimentale come lascia intendere la dicitura “TEST” contenuta in diverse stringhe del codice.
Secondo Pierluigi Paganini, cybersecurity officer della società che ha scovato l’app malevola, “Nel codice sono presenti molte stringhe in Italiano, ed il fatto che siano stati presi di mira gli utenti della Tre Italia conferma la tesi che dietro vi sia un gruppo di sviluppo del nostro Paese” aggiungendo che “il server utilizzato per controllare l’app ed impartire ordini è riconducibile ad un’azienda Italiana che opera nel settore della cyber security, ciò tuttavia non rappresenta un elemento certo di attribuzione di colpevolezza. I suoi sistemi infatti potrebbero stati hackerati. Nel report abbiamo omesso il nome dell’azienda per dare modo ai suoi rappresentanti di chiarire la posizione nella vicenda”.
ESET Italia raccomanda di prestare sempre la massima attenzione quando si effettua il download di un’applicazione, ricordando che è sempre opportuno tenere in considerazione la valutazione di altri utenti e di verificare l’attendibilità dell’autore, oltre a suggerire di installare un software di sicurezza valido che possa intervenire prima dell’installazione di un’applicazione compromessa.
Lascia un commento