Libero
SICUREZZA INFORMATICA

WolfRAT, il virus che prende di mira gli utenti di WhatsApp: come difendersi

WolfRAT è un virus trojan che prende il possesso dello smartphone e raccoglie i dati personali dell'utente, soprattutto tramite WhatsApp e Messenger

virus whatsapp Fonte foto: Alex Ruhl / Shutterstock.com

I ricercatori del Cisco Talos Security Intelligence and Research Group hanno scovato un nuovo pericoloso virus, che hanno ribattezzato WolfRAT e che colpisce specialmente le app di messaggistica istantanea come Facebook Messenger, Line e soprattutto WhatsApp. Non è un virus nuovo, ma una nuova versione di un virus conosciuto: DenDroid.

Per la precisione è un “RAT“, cioè un Remote Access Trojan. Questi virus prendono il controllo dei dispositivi infetti per rubare dati personali e per spiare l’utente. Nel caso specifico WolfRAT è un virus molto strano, perché sembrerebbe una versione raffazzonata di DenDroid: nel suo codice sono state trovate diverse stringhe morte (che cioè non servono a nulla) e alcuni errori, tanto è vero che il malware non è sempre efficace. Tuttavia il virus da cui deriva, cioè DenDroid, pur risalendo al 2015 è ancora abbastanza elaborato e pericoloso. Ma, soprattutto, WolfRAT sembra riconducibile ad un gruppo di hacker che si credeva sciolto.

WolfRAT: come funziona e cosa si rischia

Al momento il rischio di WolfRAT per gli utenti italiani è solo virtuale, perché il virus è stato isolato solo su dispositivi in Thailandia, dove è stato diffuso (esattamente come avveniva per DenDroid) tramite false notifiche di aggiornamento di Chrome, di Flash o del Play Store. Una volta insediatosi nel dispositivo, WolfRAT lo infetta e inizia a raccogliere dati come la cronologia del browser e la lista chiamate ed SMS. Ma questo è il minimo, perché il virus è anche in grado di prendere il controllo di fotocamera e microfono e registrare, quando WhatsApp è aperto, video dello schermo dell’utente con cadenza di 50 secondi. Tutto il materiale raccolto viene poi inviato a dei server di Command and Control (C2) in Thailandia. L’origine thailandese del malware sembrerebbe confermata anche da alcuni comandi JavaScript scritti proprio nella lingua del Paese asiatico.

Wolf Research è tornata?

Secondo i ricercatori di Talos i server che ricevono i dati rubati da WolfRAT sono riconducibili ad un noto venditore di spyware chiamato Wolf Research, lo stesso che sviluppò DenDroid cinque anni fa. Secondo un report di VirusTotal del 2018 Wolf Research in passato ha venduto a Governi stranieri malware per la sorveglianza remota di dispositivi Windows, Android e iOS. Ma Wolf Research è ufficialmente chiusa, perché è stata trasformata in un’altra società chiamata LokD. L’ipotesi di Talos è che ci siano ancora degli ex di Wolf Research in attività e che questi personaggi stiano prendendo nuovamente in mano il codice di DenDroid per rielaborarlo e trasformarlo in un virus nuovo e più potente.