Tutto ciò che occorre sapere su SpyDealer, il vecchio spyware che ruba dati da 40 app di chat e social network

Nonostante sia in azione principalmente su vecchi sistemi operativi, SpyDealer minaccia più di 500.000 smartphone

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Non si metteranno a morte i padri per una colpa dei figli”, recita il Deuteronomio, ma sicuramente la predicazione biblica non sembra riguardare il mondo dei malware, il cui protagonista – non unico, beninteso, ma principale – della settimana è proprio SpyDealer. Il virus, per ora funzionante solamente su dispositivi Android 2.3 – 4.4, punta principalmente al furto di credenziali ed informazioni sensibili tra cui chat di app come WhatsApp e Telegram, password di social network quali Facebook e dati relativi più generalmente al device ospite, come codice IMEI, IMSI così come scattare immagini e registrare file audio, il tutto all’insaputa dell’utente.

Siete pronti per scoprire tutto ciò che occorre sapere sullo spyware SpyDealer?

Che cos'è SpyDealer

SpyDealer è – come già il nome lascia intendere – uno spyware, un malware che intercetta, raccoglie e successivamente invia alla propria fonte quante più informazioni sensibili sia in grado di trovare nello smartphone nel quale gli riesce di innestarsi.

SpyDealer
Sfortunatamente, di solito non è così semplice scoprire la presenza di uno spyware

SpyDealer è stato per la prima volta individuato dai ricercatori di Palo Alto Networks nel 2015, mentre l’ultimo degli oltre 1046 esempi – raccolti in tre differenti versioni – risale al maggio 2017, segno che SpyDealer è rimasto in circolazione per circa un anno e mezzo, e parrebbe essere ancora in via di sviluppo. Il pericolo rappresentato da SpyDealer consiste non soltanto nella fascia d’utenza coinvolta dal raggio d’azione del malware, ma anche dai potenziali sviluppi che il file d’origine dello spyware potrebbe ricevere.

Stando ai dati dei ricercatori, SpyDealer sarebbe per ora operativo solamente su sistemi pari o inferiori ad Android 4.4 KitKat che, seppur in calo secondo le ultime statistiche di Google, rappresentano ancora un quarto dei device presenti nel mondo, all’incirca 500.000 smartphone. Dato che però abbiamo potuto notare già diversi esempi di virus capaci di ottenere i permessi di root – perchè è questa la principale funzione di SpyDealer dopo il furto di informazioni – anche su smartphone Marshmallow e Lollipop, non escludiamo che il campo d’azione possa estendersi nei prossimi mesi.

SpyDealer, che sembra aver effettuato le proprie incursioni unicamente in Cina e succcessivamente anche negli USA, si propaga principalmente attraverso reti wireless infette, e dunque servendosi degli hotspot pubblici. I suoi obbiettivi primari sono gli smartphone aggiornati ad Android KitKat – o inferiori – ma anche su device più recenti è stato comunque in grado di collezionare informazioni sensibili, nonostante i sistemi di protezione avanzati gli impediscano di causare danni gravi o irreparabili.

Come SpyDealer attacca gli smartphone degli utenti

Una volta eseguita l’infezione, SpyDealer non mostra icone o altri segni della sua presenza, ma provvede ad attivarsi seguendo una serie di condizioni, o “eventi” in corrispondenza dei quali lanciare i propri tool di rooting del device. È stato infatti provato che, specialmente nelle prime due versioni dello spyware, SpyDealer sfrutti il popolare exploit “Baidu Rooting Tool” per eseguire ad insaputa dell’utente l’accesso ai permessi di root dello smartphone, mentre successivamente abbia saputo servirsi di altri strumenti quali BusyBox.

Dopo che la procedura di rooting è stata portata a termine, non esiste una singola informazione contenuta nella memoria interna che il malware non vada ad analizzare ed inviare al proprio server di Comando&Controllo (C&C), dal quale riceve gli ordini. Oltre ai classici collegamenti via Internet, si è notato che SpyDealer si serve anche degli SMS per comunicare con i propri sviluppatori.

SpyDealer
Anche Telegram viene inclusa tra le app prese di mira da SpyDealer

Seguendo un codice numerico da 1 a 5, per il quale ad ogni numero corrisponde un comando, SpyDealer procede con lo spionaggio dei messaggi di testo, l’invio dell’intera cronologia delle conversazioni o la risposta automatica a chiamate in arrivo, il che potrebbe comportare l’attivazione di servizi a pagamento non richiesti. Ogni SMS di questo tipo, comunque, non viene notificato all’utente ed immediatamente cancellato.

Ma l’azione di SpyDealer non si limita agli SMS: nella sua rete cadono anche i social network quali Facebook, app di chat come WhatsApp, Telegram, WeChat, Line e Tango, browser quali Firefox e tanti altri ancora – è in grado persino di rubare messaggi privati servendosi degli Android Accessibility Services da Skype, Viber, WeChat e QQ. Sul piano tecnico invece SpyDealer fa incetta di IMSI, IMEI, posizione geografica, numeri di telefono, contatti sensibili e praticamente ogni dato archiviato. Non è stato ancora registrato in azione, ma SpyDealer è anche in grado di offrire il controllo a distanza degli smartphone infetti.

Infine, per completare l’opera, SpyDealer può prendere il possesso della fotocamera e del microfono del device, riuscendo così anche a registrare ed inviare piccole clip dell’ambiente circostante l’utente.

Come difendersi da SpyDealer

Per ora non occorre preoccuparsi troppo di SpyDealer – se possedete uno smartphone Android Lollipop e versioni superiori. Il virus non è stato mai osservato su Google Play, per ora è principalmente in azione sul territorio digitale cinese ed è già stato segnalato a Google che lo ha già inserito nel proprio catalogo di vulnerabilità dalle quali mantenersi protetti.

Qualora però il vostro device sia compreso nella forbice tra Android 2.2 e 4.4, allora vi converrà eseguire un upgrade al più presto possibile, magari acquistando un nuovo device – ve ne sono molti che, a prezzi bassi, possono offrirvi un adeguato livello di prestazioni.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Palo Alto Networks
Via Android Headlines
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//