SICUREZZA INFORMATICA

Chat: attenti alle versioni con il virus

Dopo aver preso di mira WhatsApp, ora gli hacker sfruttano la popolarità crescente di Telegram e Signal per diffondere i loro pericolosi virus

Pubblicato:

Negli ultimi due anni le app di messaggistica alternative a WhatsApp hanno registrato un vero e proprio boom: WhatsApp resta certamente leader, con oltre 2 miliardi di utenti nel mondo, ma Signal e soprattutto Telegram crescono in fretta con, rispettivamente, oltre 50 e oltre 800 milioni di utenti.

Non stupisce, quindi, che queste popolari app vengano sfruttate al pari di WhatsApp per ingannare gli utenti e veicolare pericolosi virus. La conferma arriva da Lukas Stefanko, noto analista di sicurezza di Eset, che ha scoperto due versioni di Telegram e Signal infette, entrambe presenti sia su Google Play Store che su Samsung Galaxy Store.

Telegram e Signal, le versioni pericolose

Stefanko ha scoperto due app clone di Telegram e Signal, chiamate rispettivamente FlyGram e Signal Plus Messenger, che promettevano funzioni aggiuntive rispetto a quelle standard.

Il giochetto dei cybercriminali è già noto ed è lo stesso già fatto in passato con app cloni di WhatsApp, come WhatsApp Pink, YoWhatsApp, GB WhatsApp e altre app simili: ingannare gli utenti dell’app per riuscire ad accedere al loro profilo e, tramite esso, a tutto il telefono.

Come funzionano FlyGram e Signal Plus Messenger

FlyGram e Signal Plus Messenger promettono funzioni aggiuntive per Telegram e Signal, in modo gratuito e per tutti, ma in realtà non sono altro che le versioni open source delle due app con leggere modifiche estetiche.

E con il malware dentro: il ricercatore di Eset ha infatti trovato nelle due app il codice di un virus della famiglia BadBazaar, già nota da diversi mesi e sviluppata dal collettivo di hacker cinesi chiamato GREF.

Si tratta di un virus molto pericoloso, perché riesce a prendere il possesso del profilo Telegram o Signal dell’utente senza che l’utente stesso se ne possa accorgere.

In questo modo BadBazaar permette di spiare gli utenti in modo subdolo e, infatti, il virus è stato sviluppato in Cina per spiare gli attivisti delle minoranze uigura e turca.

FlyGram può estrarre informazioni di base ma anche dati sensibili, come l’elenco dei contatti, i registri delle chiamate e l’elenco degli account Google. Inoltre, l’app è in grado di esfiltrare alcune informazioni e impostazioni relative a Telegram.

Signal Plus Messenger si comporta in modo simile, ma il suo obiettivo principale è spiare le comunicazioni tramite Signal della vittima: può estrarre il numero PIN di Signal che protegge l’account e abusa della funzionalità di collegamento del dispositivo che consente agli utenti di collegare Signal Desktop e Signal iPad ai loro telefoni.

Mentre virus del genere erano stati già scoperti in passato, per quanto riguarda Signal è la prima segnalazione di questo tipo.

Come difendersi da BadBazaar

Entrambe le app infette sono state segnalate da Eset a Google e Samsung e, dopo poco, rimosse dal Play Store e dal Galaxy Store.

Questo di solito basta affinché i telefoni sui quali queste app sono state installate procedano alla cancellazione automatica. Tuttavia, poiché a volte potrebbe non succedere, è sempre meglio controllare la lista delle app installate.

Qualora dovesse esserci in elenco FlyGram o Signal Plus Messenger (o entrambe, naturalmente) bisognerà rimuovere l’app infetta manualmente e, possibilmente, fare anche una scansione antivirus profonda con una suite di sicurezza per Android.

© Italiaonline S.p.A. 2024Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963