Tutto ciò che occorre sapere su SonicSpy, lo spyware che si traveste da client alternativo di Telegram (e altre 4.000 app)

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Più di una volta, da queste pagine, abbiamo sottolineato l’importanza di limitare i download delle applicazioni dal Play Store e pochi altri market di provata fiducia per motivi legati strettamente alla sicurezza dei propri smartphone e dati personali. Sfortunatamente, a volte capita che il processo di revisione delle applicazioni non riesca a mantenere al di fuori di uno spazio considerato protetto virus e malware: è il caso dell’app malevola Soniac, contenente il virus SonicSpy ritrovato in altre 4.000 app diffuse online, ed in alcuni casi anche sul market di Android.

Siete pronti per scoprire tutto ciò che occorre sapere su Soniac e il malware SonicSpy?

Che cos'è SonicSpy

SonicSpy è un malware le cui funzionalità, specificatamente improntate verso un’ottica di spionaggio delle attività dell’utente, ci permettono di classificarlo quale spyware.

Hul Messenger e Troy Chat su Google Play

Uno spyware non così raro: lo sviluppatore iraqwebservice, autore dell’applicazione incriminata Soniac ma anche di altre due app infette non più attive su Google Play (Hulk Messenger e Troy Chat) sembrerebbe infatti essere lo stesso developer autore di un virus diffusosi durante il 2016 e analizzato dal laboratorio di ricerca Palo Alto Networks, SpyNote. Le similarità sono molteplici: entrambi i virus utilizzano porte DNS variabili, e condividono ampie porzioni di codice; per questo motivo i ricercatori hanno supposto che il developer utilizzi un sistema di costruzione parzialmente automatizzato che non è stato però ancora scoperto o analizzato.

Nel caso poi di SpyNote, venne a suo tempo rilevato che l’hacker iraqeno si servisse di un’applicazione desktop per iniettare un codice malevolo nell’app scaricata dall’utente, permettendogli così di continuare ad utilizzarne le funzionalità con lo scopo di mantenerlo il più a lungo possibile ignaro del pericolo.

Come SonicSpy attacca gli smartphone degli utenti

Le strategie di attacco di SonicSpy sembrano coinvolgere un collaudato sistema di infezione che coinvolge principalmente le applicazioni di messaggistica: oltre a Soniac, presentato come un client alternativo per Telegram, le altre due app infette – la cui disattivazione potrebbe essere sia opera di Google che del developer stesso – imitavano la struttura di un’app di chat.

Soniac su Google Play

Una volta che l’utente abbia completato lo scaricamento del malware, questi inietta nel codice del file APK i contenuti necessari per completarne la trasformazione in un’app infetta, cancellando poi l’icona dall’app drawer e rendendo la sua presenza invisibile, rilevabile solamente dalle Impostazioni.

Soniac non è un’app di chat qualsiasi, ma un fork dell’app di messaggistica Telegram: largamente diffusa in Medio Oriente con punte di 25 milioni di utenti attivi solo in Iran, Telegram permette a sviluppatori indipendenti di servirsi del codice parzialmente open-source per la pubblicazione di client di terze parti. Sfortunatamente, però, non solo l’assenza di uno store stabile come Google Play impedisce un controllo delle app alternative, ma anche quelle diffuse sui market affidabili possono non rivelarsi poi così sicure. Lo stesso Pavel Durov, CEO e fondatore di Telegram, ha sconsigliato il download di client non ufficiali per motivi di sicurezza e privacy dei dati.

Nel caso di Soniac il malware va anche oltre la stessa iniezione di codice maligno, dato che spesso stato rilevato che l’app arrivi ad installare una versione nuovamente modificata di Telegram chiamata su.apk. In totale il malware dispone di un range di 72 azioni programmabili dallo sviluppatore, che comprendono la rilevazione di contatti, accessi WiFi, cronologia di navigazione e chiamata, accesso alla Fotocamera ed al microfono per la registrazione di file audio e video, e così via.

Come difendersi da SonicSpy

La difesa nei confronti di app di questo genere può essere solamente un’arma da affinare giorno dopo giorno, costituita da una miscela di buon senso ed intuito. Non solo infatti vi sconsigliamo vivamente di scaricare client alternativi di Telegram che non dispongano di una traduzione in italiano o almeno in inglese, ma che sopratutto non siano accompagnate da recensioni positive di utenti italiani. Ad ogni modo, vi suggeriamo di mantenere la versione ufficiale dell’app.

Ma SonicSpy non si limita a Telegram: secondo gli analisti di Lookout, i malware hanno trovato la propria strada in oltre 4.000 app online e negli store di app esterni. Come sempre, vi sconsigliamo vivamente di installare qualsiasi app che non provenga da QUESTI store, ed in ogni modo prestate attenzione ai permessi richiesti, limitandoli qualora li riteniate troppo intrusivi rispetto alle funzioni dell’app.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Lookout
Via Ars Technica
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//