Tecnologia

«Così controllano telefonate, foto e chat sugli smartphone…

  • Abbonati
  • Accedi
l’allarme di kaspersky lab

«Così controllano telefonate, foto e chat sugli smartphone Android in Italia»

Un malware capace di registrare le telefonate dei telefoni infettati, attivo soprattutto in Italia e creato ad hoc per i dispositivi Android. È quello che hanno scoperto i ricercatori di Kaspersky Lab, portando a galla un'attività di cyber spionaggio mirato che fa vittime nel nostro Paese sin dal 2014. Il file malevolo si chiama Skygofree, e secondo gli esperti della società russa, comprende funzionalità mai trovate in passato, come la registrazione di audio in base alla geolocalizzazione dei dispositivi infettati.

Che cos'è e come funziona
Skygofree è uno spyware sofisticato e multilivello che concede ai cyber criminali il pieno controllo remoto del dispositivo infettato. Dopo la creazione della prima versione alla fine del 2014, ha subìto costanti aggiornamenti e ora include la possibilità di “origliare” le conversazioni e i rumori dell'ambiente circostante quando il dispositivo entra in un luogo specifico. Altre funzionalità avanzate includono la possibilità di usare le impostazioni di accessibilità per rubare i messaggi WhatsApp e la capacità di collegare il dispositivo infettato alle reti wi-fi controllate dai cyber criminali.

Il malware include diversi exploit per ottenere i permessi di root ed è in grado di catturare immagini e registrare video, ottenere l'elenco delle chiamate, Sms, informazioni sulla geolocalizzazione, eventi nel calendario e dati aziendali archiviati nella memoria del dispositivo. Una funzionalità speciale consente di aggirare una funzionalità per il risparmio della batteria implementata da uno dei maggiori vendor: il malware si inserisce nell'elenco delle “app protette” per non venire disattivato automaticamente quando lo schermo è spento.

Va detto che oltre alla piattaforma Android, i “padri” di Skygofree hanno mostrato interesse anche verso gli utenti Windows. Quelli di Kaspersky Lab, infatti, hanno scoperto diversi moduli sviluppati recentemente che prendono di mira la piattaforma di Microsoft.

Come si diffonde
Da quanto emerso, la maggior parte delle landing page nocive usate per diffondere il malware sono state registrate nel 2015, quando la campagna di distribuzione è stata più attiva. Ma la stessa campagna nociva è ancora in atto e il dominio più recente è stato registrato a ottobre 2017. I dati indicano che attualmente sono state colpite diverse vittime, tutte in Italia. «I malware mobile di alto profilo sono estremamente difficili da identificare e bloccare e gli sviluppatori di Skygofree hanno sfruttato questo fattore a proprio vantaggio, creando e sviluppando uno spyware in grado di spiare gli obiettivi senza destare sospetti. In base agli artefatti scoperti nel codice del malware e alla nostra analisi dell'infrastruttura, siamo piuttosto sicuri che il malware Skygofree sia stato sviluppato da un'azienda It italiana che offre soluzioni di sorveglianza, come HackingTeam», ha commentato Alexey Firsh, Malware Analyst, Targeted Attacks Research, di Kaspersky Lab.

Vittime tradite dagli aggiornamenti
«Abbiamo scoperto che i malware per Android di Skygofree vengono distribuiti attraverso landing page che imitano i siti dei maggiori operatori mobile. Le vittime vengono portate a visitare il sito – non siamo ancora sicuri di come avvenga – e invitate ad aggiornare o resettare la configurazione del proprio dispositivo», ha detto al Sole 24 Ore Vicente Diaz, Principal Security Researcher del Global Research & Analysis Team di Kaspersky Lab.

Che cosa fare
Per rimanere al riparo da Skygofree «è importante – ha aggiunto Diaz - che gli utenti facciano attenzione alle email ricevute da persone o aziende sconosciute o con richieste o allegati inattesi e che verifichino sempre l'integrità e l'origine dei siti web prima di cliccare sui link. In caso di dubbio, è sempre meglio contattare il service provider per una verifica. Gli amministratori di sistema, a loro volta, dovrebbero attivare la funzionalità di Application Control della propria soluzione di sicurezza mobile per controllare i programmi potenzialmente dannosi vulnerabili a questi attacchi».

Se gli utenti temono di essere stati infettati, possono verificare manualmente l'elenco delle applicazioni installate alla ricerca di nomi sospetti. Di seguito l'elenco dei package name usati dal malware: com.sysmanager, core.syncupdate, core.syncsystem, core.sec, com.android.system, com.secure.phone.system.

© Riproduzione riservata