Lo scorso 13 ottobre sono terminati i test del sistema IT-alert da parte della Protezione Civile. Alcuni cybercriminali avevano approfittato dell’occasione per inviare messaggi di phishing. I ricercatori di D3Lab hanno scoperto un sito fake usato per distribuire il malware SpyNote per Android tramite una presunta app IT-alert.
Non esiste nessuna app ufficiale
IT-alert è un sistema che avvisa i cittadini di una grave emergenza o evento catastrofico imminente (ad esempio, maremoti, crollo di una diga o eruzione vulcanica). Il messaggio non viene inviato tramite SMS e non serve nessuna app, in quanto il sistema sfrutta la tecnologia cell-broadcast. Gli ignari utenti possono però cadere nella trappola dei malintenzionati.
I ricercatori italiani di D3Lab hanno scoperto un sito fasullo che invita a scaricare un’app per rimanere informati su una possibile eruzione vulcanica. Se viene cliccato sul pulsante con un dispositivo iOS o desktop, l’utente verrà reindirizzato al sito ufficiale. Se invece clicca con un dispositivo Android viene scaricato il file IT-Alert.apk che nasconde SpyNote.
Quest’ultimo è uno spyware con funzionalità RAT (Remote Access Trojan). All’avvio viene chiesto il permesso per l’esecuzione in background e l’uso dei servizi di accessibilità che consentono di eseguire diverse attività: accesso alle fotocamere, registrazione dei tasti premuti (keylogging), tracciamento della posizione GPS, cattura di screenshot, registrazione delle telefonate e furto di dati personali.
Essendo anche un trojan bancario, SpyNote può mostrare un’interfaccia di login simile a quella ufficiale e rubare le credenziali di accesso al conto corrente. È in grado inoltre di intercettare i codici dell’autenticazione in due fattori inviati via SMS. Google ha comunicato che non ci sono app infette sul Play Store e che gli utenti sono protetti dalla funzionalità Google Play Protect.
Ti potrebbe interessare
18 ott 2023