Tutto ciò che occorre sapere su Lipizzan, il malware che ruba dati da Telegram, WhatsApp e Threema

Kaspersky Italia

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

A quanto corrisponde lo 0,000007% degli smartphone Android in circolazione? Circa 100 dispositivi, più o meno, e si tratta del numero esatto di device che ha subito un’infezione da parte del malware Lipizzan, che era riuscito a raggiungere il Play Store assumendo l’aspetto di rispettabili applicazioni. Pericolo a parte – il basso numero di infezioni non riduce in alcun modo la portata della minaccia – l’eliminazione di Lipizzan segna il primo, grande risultato di Google Play Protect, il nuovo sistema di protezione dello store di Android.

Siete pronti per scoprire come Lipizzan è arrivato su Google Play, e come potrebbe tornarci?

Che cos'è Lipizzan

La storia di Lipizzan viene da lontano, e non stiamo utilizzando un metro di riferimento geografico ma temporale: nonostante gli attacchi eseguiti dal malware siano estremamente recenti, le sue radici affondano nel codice di un altro virus, Chrysaor, il quale a sua volta è collegato ad una società di sviluppo molto nota nell’ambiente – l’NSO Group.

Lipizzan malware
La nazionalità di ciascuno smartphone colpito da Chrysaor qualche mese fa

Quest’azienda, specializzata nella realizzazione di malware su commissione per compagnie, privati e governi è salita agli onori delle cronache qualche mese fa per la distribuzione del virus per iOS Pegasus – fatto che su Android avrebbe suscitato un clamore mediatico decisamente più irrisorio. La sua versione per il sistema operativo di Google, Chrysaor, non aveva saputo infettare più di 14 dispositivi, eppure aveva già allora dimostrato tutta la propria potenza invasiva in un così piccolo campo d’azione.

Anche Lipizzan non ha saputo fare molto meglio del proprio predecessore – appena 100 infezioni per più di 20 applicazioni distribuite su Google Play, circa cinque download per ciascuna – ma, pur cambiando pelo non ha abbandonato i vecchi vizi. Lipizzan nasce infatti come spyware capace di rootare lo smartphone della vittima e di accedere a quante più informazioni gli riesca possibile, dagli SMS alle email passando per le conversazioni WhatsApp e Telegram.

Come Lipizzan attacca gli smartphone degli utenti

Stando alle parole dei tecnici di Google che hanno documentato le fasi di attacco di Lipizzan, il malware ha cercato di espandersi sul Play Store e su un vasto numero di cataloghi online di applicazioni, mascherandosi ogni volta da app apparentemente legittima. Nonostante dunque la variabilità dei nomi, le parole più comunemente inserite nei titoli tendevano a convincere gli utenti dell’effettiva utilità delle app, proposte come “Cache cleaner”, “Backup tool” e via discorrendo.

Una volta scaricata sullo smartphone dell’utente, Lipizzan iniziava la propria fase di attacco: se il device corrispondeva ad una serie di parametri verificati dal server di riferimento del virus, Lipizzan provvedeva al rooting acquisendo così i diritti di amministrazione e gestione del dispositivo.

Lipizzan era (ed è ancora) in grado di estrarre le seguenti informazioni sensibili da uno smartphone:

  • registrazioni delle chiamate
  • registrazioni delle chiamate VoIP
  • registrazioni dal microfono dello smartphone
  • monitoraggio della posizione
  • acquisizione di screenshot
  • acquisizione di immagini dalla fotocamera del device
  • acquisizione di file contenuti nella memoria interna
  • acquisizione di informazioni personali quali SMS, cronologia delle chiamate e di navigazione e via discorrendo.

Non solo: stando ai registri del malware, sembra che questi fosse anche capace di prelevare dati da social network ed app di chat come Linkedin, Snapchat, Telegram, WhatsApp, Threema, Skype, Gmail e Viber – fatto assolutamente prevedibile, nel momento in cui un virus prende il controllo di un telefono rootato.

Come difendersi da Lipizzan

Lipizzan ha cercato di introdursi su Google Play all’interno di 20 applicazioni differenti, ma in due ondate consecutive di immissioni.

La prima era riuscita a superare i controlli dello store – perlomeno, nei momenti iniziali – per poi essere intercettata ed abbattuta dal sistema di protezione Google Play Protect. La seconda, avvenuta a distanza di una settimana dall’espulsione, ha coinciso con un cambiamento della strategia da parte degli hacker: le applicazioni non si travestivano più infatti da “Backup tool”, bensì da “Notepad”, “Voice registrator” e così via, forse nella speranza di suscitare più interesse intercettando i gusti di fasce trasversali di utenza. Non ha funzionato.

LipizzanNonostante Lipizzan – e chissà cos’altro – si nasconda ancora nel buio della Rete, si può affermare con sicurezza che si tratti della prima vittima illustre di Google Play Protect, il sistema di protezione di Google Play recentemente introdotto. Se volete verificare la sua attività, e controllare che sia effettivamente in funzione sul vostro dispositivo, dovrete accedere a “Impostazioni” > “Google” > “Sicurezza” > “Google Play Protect”.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Android Developers Blog
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//