Il team di sicurezza di Google ha recentemente scoperto nuove applicazioni spyware sullo store ufficiale , riconducibili – a loro giudizio – alla compagnia israeliana Equus Technologies , nota nel panorama cybersec come produttrice di software di intelligence.
Per ingannare i sistemi di controllo adottati da Google, gli autori dello spyware ne hanno strutturato l’esecuzione in due passaggi: la prima fase avveniva con il download di software di interesse comune , come applicazioni per la pulizia e l’ottimizzazione delle prestazioni dello smartphone e soluzioni per il backup; a ciò seguiva poi una seconda fase di raccolta delle informazioni sul dispositivo e tentativi di attacco e privilege escalation con exploit noti, effettuata tramite un command & control .
Una volta installato, Lipizzan disinstalla l’applicazione utilizzata nella fase 1 e diventa operativo: il malware è in grado di registrare le conversazioni telefoniche (sia con applicazioni VOIP che effettuate via rete telefonica), registrare l’input del microfono dello smartphone, geolocalizzare il dispositivo, catturare foto, screenshot e collezionare file e informazioni riservate anche relative ad altre applicazioni installate sullo smartphone, tra cui Whatsapp, Telegram, Facebook Messenger e altre applicazioni social.
Le app individuate – meno di 20 – sono state prontamente rimosse dallo store e disinstallate da circa 100 smartphone infettati utilizzando Google Play Protect ; nel momento in cui Google ha iniziato le operazioni di mitigazione rimuovendo le app malevole, ne sono comparse altre di carattere ugualmente generico, anch’esse prontamente rimosse dallo store.
Patrizio Tufarolo