Molti cybercriminali utilizzano come leva per le proprie attività alcuni dei sentimenti umani, tra cui figura anche la paura.
In questo contesto rientra anche la campagna individuata dalla società di sicurezza informatica italiana D3Labs. L’azienda, attraverso il proprio blog, ha segnalato che alcuni criminali informatici hanno sfruttato il servizio IT-Alert per i loro scopi. Stiamo parlando di una piattaforma utile per allertare la popolazione in caso di disastro naturale.
Facendo leva sulla preoccupazione della popolazione rispetto le recenti attività sismiche e vulcaniche dei Campi Flegrei, i cybercriminali hanno clonato il sito ufficiale dell’app.
Secondo D3Labs, il sito fittizio presentava questo testo per spingere l’utenza al download dell’app “A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita“.
Il sito falso era rivolto solo agli utenti Android, reindirizzando gli stessi al sito Web IT Alert effettivo se si accedeva tramite un browser desktop o un dispositivo iOS.
L’app IT-Alert è in realtà in temibile spyware SpyNote
Una volta che la vittima scaricava il file APK (ovvero IT-Alert-apk) e installava lo stesso, questo attivava il famoso malware SpyNote, venduto come MaaS su Telegram.
Richiedendo all’utente di consentire l’esecuzione dell’app in background, i cybercriminali sono in grado di ottenere il pieno controllo dello smartphone della vittima tramite i suoi servizi di accessibilità. Ciò consente agli stessi di “Monitorare, gestire e modificare le risorse e le funzionalità del dispositivo insieme alle funzionalità di accesso remoto“. Questa tecnica rende anche più difficile per le vittime “Disinstallare l’applicazione, aggiornare le app già disinstallate o installarne di nuove“.
SpyNote può anche accedere alla fotocamera del dispositivo, estrarre informazioni personali e inviare queste informazioni insieme a immagini e video dal dispositivo infetto al suo centro di comando e controllo.
Per fortuna, a quanto pare, chi si affida a Google Play non dovrebbe correre rischi di sorta. Un portavoce di Google ha infatti affermato a BleepingComputer come “Su Google Play non si trova alcuna app contenente SpyNote“. I file APK provenienti da fonti non sicure, però, restano fortemente in pericolo per quanto concerne attacchi di questo tipo.