Un potentissimo malware si sta diffondendo rapidamente fra gli utenti Android tramite l’app 3Mobile Updater , che utilizzando colori e logo della TRE finge di essere un app legittima per aggiornare i cellulari della stessa azienda.
Questo malware, individuato dal CSECybSec , sembra essere stato creato per uno scopo preciso ovvero spiare gli utenti della compagnia telefonica Tre, o addirittura alcuni specifici utenti residenti in Italia.
Gli stessi ricercatori che hanno scoperto il malware hanno pubblicato da qualche ora il report “Fake 3MobileUpdater” scaricabile in formato PDF dal sito della società di cybersecurity.
Dal rapporto si evince come l’app una volta avviata visualizza un messaggio che dice di attendere che il fantomatico aggiornamento venga completato ma nel frattempo l’app estrae i contatti della rubrica, legge il contenuto dei dati delle app come Whatsapp,SnapChat,Instagram e Telegram prima che queste possano cifrare , poi può avviare la fotocamera per registrare immagini e accendere il microfono per registrare audio ambientale.Tutti i dati estratti poi vengono salvati in un database locale e inviati al server di controllo del malware.
L’impressione è che questa app faccia parte di un software di alto livello per spie , forse ancora in una versione in fase di sviluppo poichè analizzando il codice ci sono molte parti commentate con “Test” per cui potrebbe essere una fase di sperimentazione.Inoltre la stessa app non ha nessuna “protezione” per nascondersi al sistema operativo per cui è stato relativamente facile capire e analizzare il suo vero intento.Inoltre poiche alcune stringhe del codice sono scritte in lingua italiana i ricercatori di ZLab hanno ipotizzato che il malware sia stato creato da sviluppatori italiani.
Infatti come riportato da Pierluigi Paganini, cybersecurity officer di CSECybsec,
“nel codice sono presenti molte stringhe in Italiano, ed il fatto che siano stati presi di mira gli utenti della Tre Italia conferma la tesi che dietro vi sia un gruppo di sviluppo del nostro Paese”. Inoltre, continua l’esperto, “il server utilizzato per controllare l’app ed impartire ordini è riconducibile ad un’azienda Italiana che opera nel settore della cyber security, ciò tuttavia non rappresenta un elemento certo di attribuzione di colpevolezza. I suoi sistemi infatti potrebbero stati hackerati. Nel report abbiamo omesso il nome dell’azienda per dare modo ai suoi rappresentanti di chiarire la posizione nella vicenda”.
Rimane anche l’anomalia di come è stato diffuso poiche generalmente questa tipologia di malware vengono inviati al bersaglio da controllare utlizzando teniche specifiche.
Il consiglio dei ricercatori è quindi di non installare né usare l’app, la quale non è disponibile sugli store ufficiali Android e Apple dove l’app ufficiale di customer care per i clienti 3 si chiama Area Clienti 3.
