Lo spyware più noto è ovviamente Pegasus di NSO Group, ma esistono diversi malware Android che vengono utilizzati per lo stesso scopo. I ricercatori di Mandiant hanno scoperto varie campagne di spionaggio effettuate dal gruppo APT42 finanziato dal governo iraniano. I bersagli sono persone di alto profilo, spesso occidentali, come politici, giornalisti e dissidenti.
Furto di credenziali e sorveglianza
Il gruppo APT42 ha effettuato 30 campagne di spionaggio dal 2015 ad oggi contro obiettivi presenti in 14 paesi, Italia inclusa. I cybercriminali hanno tentato più volte di rubare le credenziali di login ai servizi di posta elettronica e i codici dell’autenticazione multi-fattore. Sfruttando la tecnica dello spear phishing hanno inviato email che sembrano provenire da mittenti conosciuti dalle vittime.
Per le attività di cyberspionaggio sono stati utilizzati vari malware per Android. I cybercriminali hanno inviato SMS contenenti link ad alcune app di messaggistica e VPN che nascondevano gli spyware. Ciò ha permesso di leggere gli SMS, accedere alla rubrica, attivare il microfono per registrare le chiamate e le conversazioni nelle vicinanze, scattare foto e tracciare la posizione geografica.
Gli esperti di Mandiant hanno infine rilevato collegamenti tra le attività di APT42 e quelle di PHOSPHORUS. Quest’ultimo è noto per aver effettuato diversi attacchi ransomware sfruttando la funzionalità BitLocker di Windows.
Per rilevare e bloccare i tentativi di phishing e gli spyware è sempre consigliata l’installazione di una soluzione di sicurezza efficace. Tra le migliori sul mercato c’è Malwarebytes Premium.