Libero
SICUREZZA INFORMATICA

Un nuovo virus russo ascolta il microfono del nostro smartphone

Scoperto un nuovo virus che spia l'utente e manda i dati in Russia: usa gli stessi server di un noto e potente gruppo di hacker, ma non è detto che sia di loro creazione

Sin dall’inizio del conflitto russo-ucraino è stato chiarissimo che una parte dello scontro si sarebbe consumata coi proiettili, i missili e i colpi di mortaio ma un’altra, non meno importante, con i bit. La cyberwar è sempre stata presente in questa guerra e, di conseguenza, le intelligence di mezzo mondo hanno aperto ancor di più gli occhi su questo aspetto.

In Europa, Italia compresa, ha fatto scalpore il caso del noto antivirus russo Kaspersky, fino a poche settimane fa diffusissimo e apprezzatissimo e, adesso, messo quasi al bando e sostituito con altre soluzioni di sicurezza informatica. Altrettanto scalpore, poi, fanno in questo periodo storico le scoperte, in altri periodi abbastanza normali, di nuovi virus russi o collegabili alla Russia. L’Europa dell’est e l’ex Unione Sovietica, quindi non solo la Russia ma anche l’Ucraina e molti altri Paesi, sono da tempo sede di numerosi collettivi hacker che fabbricano virus di ogni tipo. L’ultimo scoperto, che non ha ancora un nome, ha degli aspetti molto poco rassicuranti, e altri che ci lasciano ipotizzare che possa trattarsi addirittura di un diversivo per confondere i ricercatori di sicurezza.

Il nuovo virus russo

Questo virus per smartphone Android non è stato ancora battezzato con un nome. I ricercatori di Lab52, società spagnola di cybersecurity, lo hanno trovato all’interno di un file apk per l’installazione di un’app chiamata “Process Manager“.

La cosa allarmante di questo virus è il fatto che condivide la sua infrastruttura e i server di controllo con quelli usati in passato dal collettivo hacker russo chiamato “Turla“, che sembrerebbe essere dietro a numerosi attacchi contro aziende ed istituzioni in Europa e in USA, anche di altissimo livello.

Ciò non vuol dire che anche il nuovo virus sia una creazione di Turla, o almeno non è possibile fare una connessione diretta e certa. Le uniche cose certe, infatti, sono che quando si attiva il malware inizia a comunicare con una lista di server russi, che questi server sono stati usati in passato anche dagli hacker di Turla, e che il nuovo virus invia ai server le moltissime informazioni che raccoglie. Questo virus, infatti, è uno spyware.

Cosa fa il nuovo virus russo

Al momento non è ancora chiaro come questo virus venga distribuito: si sa solo che, una volta scaricato sul telefono, installa un’app chiamata “Process Manager“. Tale app richiede all’utente una lunghissima serie di autorizzazioni per funzionare e, se l’utente gliele concede, ad usarle sarà in realtà il virus.

Tra le cose che può fare questo spyware, una volta ottenute le autorizzazioni, ci sono la lettura e scrittura di tutti i dati sul telefono, l’accesso alla posizione geografica precisa, al WiFi, alla fotocamera, al microfono, alla lista chiamate e SMS e molto altro.

In pratica questo virus può registrare le nostre chiamate, o anche l’audio ambientale percepito dal microfono del telefono (che può attivare autonomamente), scattare foto o registrare video e poi inviare tutto questo materiale ai server su territorio russo. Uno strumento completissimo di spionaggio, quindi.

Come bloccare il nuovo virus russo

I ricercatori di Lab52, come gà accennato, non hanno ancora capito con quale metodo viene veicolato questo virus. Di conseguenza è impossibile fare una stima di quanto sia già diffuso. Non possiamo ancora sapere neanche se stanno circolando diverse varianti, o solo questo ceppo.

Quello che sappiamo è che, in questa variante, il virus porta con sé l’app “Process Manager“, riconoscibile dall’icona a forma di ingranaggio (che imita quella delle impostazioni di Android). Chi ha quest’app sul telefono, quindi, dovrebbe disinstallarla prima possibile e, subito dopo, eseguire una scansione antivirus approfondita con un software di sicurezza affidabile.

In generale, come norma di sicurezza sempre valida, vi ricordiamo che è bene non concedere mai alcuna autorizzazione ad un’app se non conosciamo bene l’app stessa o se non è essenziale per quell’app avere quel permesso: chiediamoci sempre per quale motivo dovrebbe servirgli, se non riusciamo a darci una risposta subito allora è meglio non concedere quel permesso.

Virus russo: l’app collegata

Infine, su questo virus va anche aggiunto che i ricercatori di Lab52 hanno scoperto che il nuovo malware può scaricare anche un’altra app, chiamata “Roz Dhan: Earn Wallet cash“. Si tratta di un’app legittima, con oltre 10 milioni di download, non rischiosa ma non richiesta dall’utente.

L’app viene scaricata per generare un introito da affiliazione che serve a remunerare gli sviluppatori del virus. Questo aspetto, da una parte, potrebbe significare che gli hacker dietro al virus non sono di alto livello (cioè non sono il collettivo Turla), dall’altra potrebbe essere un tentativo per confondere le acque e i ricercatori.