Fai attenzione se una piccola icona rotonda, che rappresenta una ruota dentata, appare nella barra delle notifiche del tuo smartphone Android. Potrebbe trattarsi di uno spyware, hanno appena rivelato i ricercatori della società spagnola di sicurezza informatica Lab52. Nascosto dietro questa applicazione chiamata Process Manager, che potrebbe essere stata scaricata accidentalmente dopo aver fatto clic su un collegamento, il malware richiede solo un clic di curiosità per iniziare.
A chi clicca viene subito offerta tutta una serie di autorizzazioni. GPS, elenco delle chiamate in entrata e in uscita, elenco dei contatti, fotocamera, coordinate delle reti wifi utilizzate e soprattutto ascolto delle telefonate: in totale si tratta di 18 permessi che devi dare, gli hacker che maltrattano di te hanno l’abitudine di consentire a tutti cookie o altre notifiche su base giornaliera quando ci si connette a siti Web o applicazioni. Un po’ come quando accetti senza leggere i termini e le condizioni d’uso familiari.
“Il software e la tecnologia non sono molto avanzati”, ha sorpreso anche Benoit Ferault, esperto di cybersecurity di Quarkslab, azienda francese specializzata nella ricerca sulla sicurezza, che abbiamo contattato. Quindi il software eseguirà la scansione e trasferirà tutti i dati dal telefono e li invierà a un server in Russia. L’applicazione scomparirà quindi dalla schermata iniziale. “Ma funziona in background e rimane nella barra delle notifiche, che non è la più discreta”, afferma il nostro esperto di sicurezza informatica.
Interrogata l’affermazione di hacker russi che lavorano per il Cremlino
Nella loro analisi, gli esperti spiegano di essere stati in grado di identificare un indirizzo IP (un numero di identificazione assegnato a un computer connesso a una rete Internet) in Russia. “Perché il server a cui è connesso questo software è stato utilizzato dallo stato russo per un po’. Solo che questi indirizzi IP possono essere acquistati sul mercato nero e riutilizzati da qualcun altro”, continua Benoit Ferault. Ma attenzione, l’attuale contesto bellico rafforza questo senso di sfiducia nei confronti di questo Paese.
In ogni caso, i ricercatori di Lab52 hanno individuato un’infrastruttura attribuita all’FSB, i servizi di sicurezza russi. La loro ipotesi: cosa c’è dietro questo attacco, il gruppo di hacker russi Turla, detto anche “Snake” o “Uruburos”. Un gruppo finanziato dal Cremlino che nel 2020 potrebbe essere coinvolto nella pirateria di SolarWinds, un editore di software statunitense.
Tuttavia, se alcune codifiche di questo software contengono effettivamente l’alfabeto cirillico, nulla può essere certo che siano effettivamente uomini di Turla. “Troviamo molti software che sono già utilizzati da questo gruppo, ma nulla ci permette di confermare che siano reali. Se i pirati avessero risorse (finanziarie) significative per lo spionaggio, avrebbero sicuramente scelto di renderlo completamente invisibile”, ha affermato.
Tanto più che questa pirateria porta anche al download di una popolare applicazione indiana (10.000.000 di download) con un sistema di referral generatore di denaro molto diffuso in India: “Roz Dhan Guadagna soldi sul tuo portafoglio”. Infatti, grazie a un pacchetto di sponsorizzazione, gli hacker recuperano commissioni per ogni download di questa applicazione indiana.
Esiste un software antivirus per proteggerti. “Anche i telefoni stanno diventando più sicuri”, afferma l’esperto di Quarkslab. A riprova dei punti deboli di questo software, gli utenti possono anche semplicemente disinstallare l’applicazione. Ciò rafforza i dubbi sulla sua origine, poiché gli hacker di Turla sono più abituati allo spionaggio informatico, in particolare funzionari o diplomatici, che dispongono di dati sensibili, rispetto ai normali cittadini. L’entità di questo attacco è sconosciuta. Ma come al solito, si sforza di recuperare quanti più dati possibile, facendo sempre soldi sul Dark Web.
GIPHY App Key not set. Please check settings