Identificano un nuovo programma dannoso che colpisce i dispositivi Android. Questo è Process Manager, un software in grado di rubare dati, nonché di registrare l'audio e la posizione di tracciamento, mentre si lavora in background.
La società di sicurezza informatica Lab52 ha identificato questo malware, che utilizza la stessa infrastruttura di hosting condiviso utilizzata da un gruppo di criminali informatici di origine russa chiamato Turla.
Al momento, non è noto se Process Manager sia supportato da Turla o se abbia una connessione o una relazione diretta con questa campagna, nota anche come Snake o Uroburos.
Questo software, anch'esso di origine russa, raggiunge i dispositivi attraverso un file APK dannoso che funziona come spyware o spyware su Android e ruba dati, senza che l'utente se ne accorga in quanto agisce sullo sfondo.
Come hanno determinato i ricercatori, una volta installata l'applicazione, viene inserita nel menu delle applicazioni e visualizza un'icona di un dado, che gli utenti possono confondere con il menu Impostazioni.
Inoltre, quando viene eseguito per la prima volta sul dispositivo, sono necessarie un totale di 18 autorizzazioni per accedere alla posizione del telefono, al blocco e allo sblocco dello schermo, alle informazioni dalle reti WiFi o ai sensori della fotocamera integrati nel computer.
Altre autorizzazioni richieste da questa applicazione sono l'accesso alle telefonate o alle informazioni di contatto e puoi avviare l'app quando il dispositivo è acceso, inviare SMS, scrivere sulla scheda di memoria o leggere i dispositivi dalla memoria esterna.
Una volta che l'applicazione viene aperta per la prima volta, la sua icona viene rimossa dal menu dell'applicazione e viene eseguita in background, come appare nella barra delle notifiche.
In questo modo, oltre a rubare informazioni riservate, è in grado di scattare foto o video, oltre a registrare l'audio dal registratore vocale che di solito è preinstallato su questi telefoni.
In questo caso, l'applicazione riesce a estrarre queste registrazioni in formato mp3 nella directory della cache e, insieme al resto dei dati, le invia in formato JSON a un server situato in Russia.
Al momento, non si sa da dove provenga questo malware, ma i ricercatori hanno trovato prove in un'altra applicazione chiamata Ro Dhan: Earn Wallet Cash, che fino ad ora era disponibile su Google Play.
Come sapere se c'è un'app spia sul cellulare
Esistono diversi passaggi che possono essere intrapresi per eseguire la scansione del telefono cellulare alla ricerca di alcune applicazioni spia o spyware.
1. Fai un'analisi con Play Protect
Questo strumento, disponibile sul Play Store, esamina il cellulare e le applicazioni alla ricerca di comportamenti dannosi. Nel caso in cui venga rilevato un rischio, l'utente riceve una notifica. Questa impostazione è abilitata per impostazione predefinita e le scansioni vengono eseguite in modo automatico.
Per verificare che l'opzione sia abilitata e verificare che funzioni correttamente, devi accedere al Play Store, dal tuo cellulare, toccare la foto del profilo che si trova nell'angolo in alto a destra e verrà visualizzato un menu delle opzioni.
Uno di questi è Play Protect. Effettua il login e guarda il rapporto.
Per assicurarti che l'opzione sia abilitata, fai clic sull'icona del dado e verifica che la scansione delle app con Play Protect sia abilitata.
2. Controlla da dove sono state scaricate le app e quali autorizzazioni dispongono
Quando hai attivato Play Protect, le app installate vengono scansionate automaticamente, ma non fa male ricontrollare manualmente. Un punto interessante è quello di rivedere le autorizzazioni delle piattaforme installate e da dove sono state scaricate.
Per accedere a queste informazioni, vai all'icona delle impostazioni (il simbolo del dado) sul telefono cellulare, quindi inserisci Applicazioni e vai in ognuna lì per verificare dove dice Permessi e nell'applicazione Dettagli in negozio. Quest'ultimo viene utilizzato per vedere da dove è stata scaricata l'app, il che è molto importante, perché se il download è stato effettuato da un negozio non ufficiale, ci sono più rischi che si tratti di un programma dannoso.
3. Accedi alla modalità provvisoria per eliminare app sospette
Quando il telefono viene riavviato in modalità provvisoria, tutte le applicazioni di terze parti sono disabilitate e consentono di eliminare app che altrimenti non potrebbero essere eliminate. Va notato che questo non funzionerà se il software dannoso ha accesso root al sistema.
Come accedere alla modalità provvisoria
Per avviare in modalità provvisoria, è necessario premere il pulsante di spegnimento finché non viene visualizzata l'alternativa. Su alcuni modelli, quando si preme il pulsante di spegnimento, viene visualizzata l'opzione Spegni e è necessario premerla di nuovo finché non viene visualizzata la legenda della modalità provvisoria, quindi fare nuovamente clic su tale opzione.
Quindi dovresti andare su Impostazioni o Impostazioni e inserire Applicazioni. Verrà visualizzato un elenco di tutte le app scaricate. Devi controllare se ne trovi uno con un nome strano o che non ricordi di averlo scaricato e cancellato.
Prima di farlo, dovresti fare una ricerca per scoprire cosa viene rimosso dal dispositivo ed evitare di disinstallare qualsiasi programma utile che potrebbe influire sul suo corretto funzionamento.
Nel caso in cui vi sia qualche sospetto che non possa essere rimosso, vai su Impostazioni o Impostazioni/Blocco e sicurezza/Altre impostazioni di sicurezza/Gestione dispositivo. Lì devi disabilitare l'accesso al programma sospetto.
Nel caso in cui nulla di tutto ciò funzioni, è possibile ricorrere alla copia di tutte le informazioni del telefono e al ripristino delle impostazioni di fabbrica nel menu Impostazioni.
CONTINUA A LEGGERE: