Attenti a queste app Android: spiano il telefono
Con la campagna eXotic Visit, lanciata a fine 2021, gli hacker hanno diffuso il pericolosissimo spyware XploitSPY in grado di spiare quasi tutto ciò che c'è su un telefono Android
Dai ricercatori di Eset arriva un nuovo allarme per i possessori di smartphone con sistema operativo Android: dal 2021 è in corso una vera e propria campagna di diffusione di un pericoloso spyware, chiamato XploitSPY, tramite la pubblicazione sul Google Play Store, su siti Web e su GitHub di molte app infette.
Per la gran parte si tratta di app di chat e comunicazione, o utility che hanno a che fare con la parte telefonica dello smartphone, che sono state distribuite in particolar modo in Asia (India e Pakistan soprattutto), ma la loro pubblicazione sul Play Store non ci permette di escludere che anche alcuni europei le abbiano potute installare, italiani inclusi.
XploitSPY: le app infette scoperte
La campagna di spionaggio scoperta da Eset è stata denominata “eXotic Visit” e le prime app infette con il malware XploitSPY sono state pubblicate addirittura a novembre 2021. Da allora ad oggi sono state pubblicate una ventina di app, alcune delle quali erano versioni aggiornate di una precedente app già pubblicata (Dink Messenger, ad esempio, è stata ripubblicata almeno tre volte con lo stesso nome).
Alcune di queste app sono palesi imitazioni di app di chat famose, come Signal e WeChat, altre sono app che promettono funzioni aggiuntive come la possibilità di ricevere informazioni sul titolare di un numero di telefono con cui si chatta. L’elenco (parziale) delle app scoperte da Eset è questo:
- Sim Info
- Signal Lite
- Telco DB
- Tele Chat
- Track Budget
- SnapMe
- TalkU
- Zaangi Chat
- Defcom
- Wicker Messenger
- Specialist Hospital
- Expense Tracker
- ChitChat
- WeTalk
- Dink Messenger
- Alpha Chat
Perché queste app sono pericolose
Tutte queste app sono state pubblicate con, al loro interno, il codice di una versione più o meno aggiornata del malware XploitSPY. Si tratta di uno spyware potente, in grado sia di spiare a fondo il telefono che di prenderne parzialmente il controllo per inviare messaggi ad altri utenti, al fine di diffondersi velocemente. Ecco la lista delle potenzialità di XploitSPY:
- Leggere i file sul telefono
- Inviare SMS
- Leggere la lista delle chiamate, dei contatti, dei messaggi e delle app installate
- Conoscere le reti WiFi disponibili, la posizione del telefono, gli account dell’utente
- Scattare foto con il telefono
- Registrare audio dal microfono
- Intercettare le notifiche di WhatsApp, Signal e altre app di chat
E’ chiaro che, con queste caratteristiche, XploitSPY può sapere praticamente tutto del proprietario del telefono infettato, motivo per cui è da ritenersi uno dei virus più pericolosi che stanno circolando in questo periodo.
Come difendersi da XploitSPY
Le app infette con XploitSPY sono state scaricate prevalentemente da Google Play Store che, ancora una volta, non è riuscito a bloccare il software pericoloso. A scaricarle sono state, secondo Eset, principalmente utenti indiani e pakistani.
Quando un’app viene segnalata e riconosciuta come infetta, Google la toglie dal Play Store e attiva il meccanismo Google Play Protect, che in pratica cancella in autonomia l’app da tutti i telefoni sui quali è stata scaricata. Nella maggior parte dei casi, quindi, anche chi ha subito l’infezione adesso dovrebbe avere il telefono pulito (ma comunque è stato spiato per mesi).
Non sempre, però, le app sono state scaricate dal Play Store: erano anche disponibili su GitHub e su diversi siti civetta, che non hanno alcun meccanismo simile a quello di Google. In tutti questi casi, quindi, anche se l’app infetta viene scoperta e segnalata resta lì, fino a quando l’utente non la cancella manualmente.
