Il Team di D3Lab, che si occupa di analizzare e contrastare le frodi on line, ha individuato un malware che si sta diffondendo su Android che utilizza in modo fraudolento il servizio di allarme pubblico IT-Alert.
IT-Alert è il nuovo sistema di allarme pubblico progettato e già sperimentato in questi mesi per fornire informazioni dirette alla popolazione. Invia messaggi ai telefoni cellulari in una specifica area geografica in caso di emergenze gravi o disastri in corso. Tuttavia, nelle ultime settimane alcuni hacker hanno creato un dominio ad hoc, con un modello grafico simile all’originale, con messaggi che invitano i cittadini a scaricare un’app fittizia per restare aggiornati sulle emergenze in corso. Qui un esempio concreto:
“A causa della possibile eruzione di un vulcano, potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita.”
Questo sito web ingannevole punta esclusivamente gli utenti Android, incoraggiandoli a scaricare un’applicazione malevola. Se il sito viene raggiunto da un dispositivo desktop o iOS, gli utenti vengono reindirizzati al sito ufficiale di IT Alert.
Malware Android (SpyNote)
Una volta che l’utente clicca sul pulsante di download, scarica il file IT-Alert.apk, che installa un malware dalla famiglia SpyNote sul proprio smartphone. SpyNote è uno spyware con funzionalità di Trojan ad Accesso Remoto (RAT) che punta a sottrarre informazioni finanziarie. Conosciuto dal 2022, si è evoluto notevolmente, raggiungendo la sua terza versione (SpyNote.C) ed è solitamente distribuito tramite Telegram dal suo creatore, CypherRat.
Dopo l’installazione l’applicazione chiede all’utente di prendere il controllo completo del telefono tramite i servizi di accessibilità. Ciò fornisce al malware la capacità di monitorare, gestire e modificare le risorse e le funzioni del dispositivo, insieme alle funzionalità di accesso remoto.
SpyNote utilizza i servizi di accessibilità per rendere più complicato agli utenti disinstallare un’applicazione, aggiornare un’app o installarne una nuova. Senza alcuna interazione con l’utente, SpyNote può cliccare sui pulsanti delle applicazioni (ad esempio, login, recupero password, ecc.) utilizzando i servizi di accessibilità. Può anche accedere alla fotocamera del dispositivo e inviare video o foto direttamente al server Command-and-Control (C&C), estraendo così informazioni personali dal dispositivo infetto. Questo dà al truffatore il controllo completo del dispositivo e la possibilità di spiare l’utente.
Naturalmente, SpyNote può anche rubare le credenziali degli utenti dalle applicazioni bancarie e social. Lo fa ingannando gli utenti e inducendoli a inserire le loro credenziali durante un normale accesso all’app della banca
Inoltre, SpyNote sfrutta la funzione di Accessibilità per ottenere i codici di autenticazione a due fattori (2FA).
Come sempre, ci uniamo al coro del team D3Lab, invitando gli utenti a fare attenzione e a evitare di installare nuove applicazioni che non provengono dagli store ufficiali.