App Android promette di aggiornare il tuo telefono 3, ma è uno spyware che ti ruba i dati
Si chiama 3 Mobile Updater è però in questo caso un’applicazione malevola per il sistema di Google travestita in modo da apparire come un’applicazione legittima per aggiornare i cellulari della 3 e ne utilizza perfino il logo
di ARTURO DI CORINTO per La Repubblica del 4 Dicembre 2017
UNO spyware molto potente sta infettando in queste ore i cellulari della 3 con sistema operativo Android, riuscendo a inserirsi nella rubrica dei contatti e a leggere il contenuto di app come Instagram, Snapchat, Whatsapp, perfino Telegram, prima che il software possa cifrarne il contenuto. Anch’esso sotto forma di app, lo spyware sfrutta un vecchio trucco, far credere all’utente che l’applicazione faccia qualcosa di utile. 3 Mobile Updater è però in questo caso un’app malevola per Android travestita in modo da apparire come un’applicazione legittima per aggiornare i cellulari della 3 e utilizza perfino il logo di TRE Italia per convincere le vittime a fidarsi e utilizzarla.
I ricercatori che l’hanno scoperta nel laboratorio malware di CSECybsec, lo Zlab, hanno pubblicato da qualche ora il report con la descrizione del comportamento del malware. Si chiama “Fake 3MobileUpdater” ed è scaricabile in formato PDF dal sito della società di cybersecurity. Nel rapporto si sottolinea che una volta lanciata l’app presenta all’utente un messaggio che lo invita ad attendere che venga completato l’aggiornamento. Nel frattempo però l’app contatta un server canaglia al quale invia informazioni sul dispositivo compromesso e resta in attesa di istruzioni.
Come riporta anche il bollettino online del Cert PA – il computer emergency response team presso l’Agenzia per l’Italia digitale (AGID) – il malware è in grado di utilizzare la fotocamera del dispositivo su cui è installato, carpire informazioni da Whatsapp, Telegram, Skype, Instagram, Snapchat, sottrarre le foto dalla galleria, leggere gli SMS e accedere al registro delle chiamate. Ma la vera novità è che si tratterebbe di un malware sviluppato in Italia. Dall’analisi del codice emergono diverse stringhe scritte in lingua italiana, ragione per cui i ricercatori di ZLab hanno ipotizzato che il malware sia stato scritto da sviluppatori italiani con lo scopo di prendere di mira gli utenti della compagnia telefonica Tre, “forse addirittura alcuni specifici utenti”. E tuttavia il fatto di aver individuato nel codice stringhe come “TEST” fanno presuppone che il malware sia ancora in piena fase di sviluppo. Il consiglio dei ricercatori è quindi di non installare né usare l’app.
Secondo Pierluigi Paganini, cybersecurity officer di CSECybsec: “Nel codice sono presenti molte stringhe in Italiano, ed il fatto che siano stati presi di mira gli utenti della Tre Italia conferma la tesi che dietro vi sia un gruppo di sviluppo del nostro Paese”. Inoltre, continua l’esperto, “il server utilizzato per controllare l’app ed impartire ordini è riconducibile ad un’azienda Italiana che opera nel settore della cyber security, ciò tuttavia non rappresenta un elemento certo di attribuzione di colpevolezza. I suoi sistemi infatti potrebbero stati hackerati. Nel report abbiamo omesso il nome dell’azienda per dare modo ai suoi rappresentanti di chiarire la posizione nella vicenda”.
La diffusione del rapporto ha anticipato di qualche ora le dichiarazioni del prefetto Alessandro Pansa sul “rischio cyber”. Proprio oggi, in coincidenza con il lancio del nuovo sito della Cyberchallenge, la competizione che seleziona i migliori talenti hacker italiani, il direttore generale del Dipartimento delle informazioni per la sicurezza, nel suo intervento alla cerimonia per il decennale della riforma dell’intelligence all’Auditorium Parco della Musica di Roma ha sottolineato l’importanza del fatto che i giovani siano “utenti consapevoli delle nuove tecnologie, che sviluppino autonome capacità di giudizio, ed anche, quando necessario, di autodifesa” e ha preannunciato una grande iniziativa per favorire la formazione dei giovani alla cybersecurity. La cerimonia si è svolta alla presenza del presidente della Repubblica Sergio Mattarella del presidente del Consiglio Paolo Gentiloni.