Spy 377, il tipico spyware di Facebook che attacca gli utenti Telegram attraverso un bot

Nonostante i malware per Android non conoscano riposo, stagione o piattaforma di preferenza, alcuni hacker preferiscono concentrare le proprie risorse nello sviluppo di virus capaci di attirare le attenzioni di ignari utenti di specifiche piattaforme. Accade spesso su Facebook e Twitter, ma raramente su Telegram: Avast e Dr. Web hanno però riportato la presenza presso la comunità iraniana degli utenti dell’app di chat di un malware Telegram capace di installare app malevole e distribuire i dati personali delle vittime online, controllato tramite un bot Telegram.

Siete pronti per conoscere Spy 377, conosciuto anche come Profile Cheker e Android RAT distribuito da e per Telegram?

Che cos'è Spy 377

Uno spyware è un programma malevolo capace di recuperare e caricare online dati privati di utenti ed organizzazioni; spesso tende ad adottare strategie di penetrazione simili a molti altri malware Android e trojan, camuffandosi da applicazioni legittime oppure auto-scaricandosi sfruttando portali d’accesso quali pubblicità invasive o store di app online.

Ciò che rende Spy 377 o Profile Cheker particolare rispetto a tutti gli altri spyware per Android è la strategia di comunicazione adottata dagli hacker per inviare i comandi al malware. Invece di costruire e organizzare una frequenza di comunicazione sulla base di un server Comando&Controllo (C&C), come di norma accade, gli sviluppatori di questo malware Telegram hanno preferito approfittare delle Telegram Bot API.

Per creare un bot per Telegram occorrono nozioni davvero basiche di codici di sviluppo e programmazione, e così i developers iraniani hanno deciso di sfruttare la larga user base dell’app di chat in Iran (40 milioni di utenti registrati dei quali almeno 25 attivi giornalmente, secondo Pavel Durov). La posizione degli utenti Telegram in Iran è particolarmente delicata: per via dell’uso massiccio dell’app da parte delle opposizioni democratiche al sistema teocratico della Repubblica Islamica, occorrono permessi speciali governativi per gestire canali di grandi dimensioni e persino attenendosi alle leggi è rischioso formulare giudizi sulla situazione del Paese. Periodicamente inoltre hacker riconducibili al governo iraniano tentano di farsi strada tra i sistemi di sicurezza di Telegram.

Come Spy 377 attacca gli smartphone degli utenti

Il malware Telegram ha dimostrato una particolare affezione per l’app di chat ed i suoi utenti: diffuso principalmente in Iran, l’app viene solitamente scaricata dagli store online di riferimento, viste le pesanti censure e limitazioni a Google Play, praticamente irraggiungibile per la maggioranza degli iraniani.

Camuffato dunque nella forma di un’app, il malware Telegram si propone nelle stesse vesti in cui si rivolgerebbe ad un’utenza europea e occidentale, limitandosi a modificare il social network di riferimento. Spy 377 è infatti anche chiamato “Profile Cheker” poiché il suo principale mascheramento consiste in un’applicazione che promette di fornire il numero di visualizzazioni totali che un profilo Telegram può aver ricevuto: è sufficiente inserire le proprie credenziali.

In realtà il virus si limita a mostrare un numero randomico automaticamente generato, il cui unico scopo è di fornire rassicurazioni all’utente sul proprio corretto funzionamento. Dopo qualche tempo l’app eliminerà la propria shortcut dall’app drawer, ma continuando a mantenersi installata nello smartphone.

Dopo qualche tempo, l’icona del malware Telegram scompare

Come già detto, il malware Telegram risponde ai comandi che i propri sviluppatori gli inviano attraverso le API dei bot Telegram, molto più semplici ed economiche da gestire e reperire. Il virus dunque si procura i dati relativi all’account Google della vittima insieme ad altre informazioni personali come numero di cellulare, cronologia delle chiamate, SMS e così via. Non solo: è anche capace di scattare una fotografia al volto del proprietario del device ed inviarla, insieme agli altri dati, al bot Telegram dei programmatori.

In realtà, nemmeno la sicurezza dei dati rubati può essere garantita, nel senso in cui chiunque sia in possesso dell’indirizzo web del server utilizzato dagli hacker può procurarsi i contenuti archiviati al suo interno. La crittografia applicata è praticamente irrisoria, tanto che i ricercatori di Avast hanno notato un certo movimento da parte di attori esterni che si occupano di cancellare, modificare, imbastire test interni senza coordinamento.

Come difendersi da Spy 377

I consigli che vi possiamo fornire in merito non sono altro che gli stessi che vi suggeriamo ogni volta che una segnalazione di questo tipo ci viene recapitata; tuttavia, dato che difficilmente questo malware Telegram raggiungerà mai l’Italia, dovreste essere abbastanza al sicuro.

Ciononostante vi suggeriamo di non scaricare mai applicazioni da siti esterni al Play Store o altre piattaforme verificate, e naturalmente di non cadere in trappole vecchie quanto l’Internet proprio come il “Profile Cheker” che gli hacker hanno tentato di diffondere online. Se volete aggiungere un ulteriore grado di sicurezza oltre all’efficacissimo buon senso, un buon antivirus per Android sarà la soluzione che cercate.

Scopri QUI la storia di PlusGram, il malware Telegram anti-ISIS!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a myjob@appelmo.com, e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

MalwareMalware AndroidSpywareSpyware AndroidTelegram malware
Commenti (0)
Aggiungi commento