Android
Per strumenti di messaggistica molto popolari come Telegram, Signal e WhatsApp sono disponibili alcuni client alternativi. Queste app modificate, denominate mod, spesso forniscono agli utenti funzionalità e capacità che non sono disponibili nei client ufficiali.
Mentre WhatsApp disapprova le mod, bandendole periodicamente dagli app store ufficiali, Telegram non solo non ha mai contrastato i client alternativi, ma ne incoraggia attivamente la creazione, quindi le mod di Telegram stanno spuntando come funghi. Ma sono sicure?
Purtroppo, diversi studi recenti mostrano che le mod degli strumenti di messaggistica dovrebbero essere trattate con grande cautela. Sebbene la maggior parte degli utenti si fidi ancora ciecamente di qualsiasi app verificata e pubblicata su Google Play, abbiamo più volte evidenziato i pericoli: durante il download di un’app da Google Play, potresti anche imbatterti in un Trojan (che ha fatto registrare più di 100 milioni di download!), una backdoor, un subscriber dannoso e/o molti altri elementi pericolosi.
Novità: versioni infette di Telegram in cinese e uiguro in Google Play
Iniziamo con una storia recente. I nostri esperti hanno scoperto diverse app infette in Google Play, mascherate come versioni di Telegram in uiguro, cinese semplificato e cinese tradizionale. Le descrizioni delle app sono scritte nelle rispettive lingue e contengono immagini molto simili a quelle della pagina ufficiale di Telegram su Google Play.
Per convincere gli utenti a scaricare queste mod invece dell’app ufficiale, lo sviluppatore afferma che funzionano più velocemente degli altri client grazie a una rete distribuita di data center in tutto il mondo.
Versioni di Telegram in cinese semplificato, cinese tradizionale e uiguro in Google Play che nascondono uno spyware
A prima vista, queste app sembrano cloni di Telegram a tutti gli effetti con un’interfaccia localizzata. Hanno praticamente lo stesso aspetto e le stesse funzionalità dell’app originale.
Abbiamo dato un’occhiata al codice e abbiamo scoperto che le app erano poco più che versioni leggermente modificate di quella ufficiale. Detto questo, c’è una piccola differenza che è sfuggita all’attenzione dei moderatori di Google Play: le versioni infette contengono un modulo aggiuntivo. Monitora costantemente ciò che accade nello strumento di messaggistica e invia grandi quantità di dati al server di comando e controllo dei creatori dello spyware: tutti i contatti, i messaggi inviati e ricevuti con file allegati, i nomi di chat/canali, il nome e il numero di telefono del proprietario dell’account. In pratica, l’intera corrispondenza dell’utente. Se un utente cambia nome o numero di telefono, perfino queste informazioni vengono inviate ai truffatori.
In precedenza: versioni spyware di Telegram e Signal in Google Play
È interessante notare che poco tempo fa i ricercatori di ESET hanno trovato un’altra versione spyware di Telegram: FlyGram. È vero: questa app non ha nemmeno provato a presentarsi come quella ufficiale. Invece, si presentava come un client Telegram alternativo (ovvero una semplice mod) ed è stata resa disponibile non solo in Google Play, ma anche nel Samsung Galaxy Store.
La cosa ancora più curiosa è che i suoi creatori non si sono limitati a imitare solo Telegram. Hanno anche pubblicato negli stessi app store una versione infetta di Signal, chiamata Signal Plus Messenger. Per una maggiore credibilità, sono persino arrivati a creare i siti Web flygram[.]org e signalplus[.]org per le loro app false.
In Google Play c’è anche un client spyware per Signal, chiamato Signal Plus Messenger. (Fonte)
Queste app equivalevano in tutto e per tutto agli strumenti di messaggistica Telegram/Signal, ma il loro codice open source includeva elementi dannosi.
Così FlyGram ha imparato a rubare i contatti, la cronologia delle chiamate, un elenco di account Google e altre informazioni dallo smartphone della vittima, nonché a creare “copie di backup” della corrispondenza da archiviare… naturalmente sui server dei creatori dell’app (anche se questa “opzione” doveva essere attivata in modo indipendente dall’utente nello strumento di messaggistica modificato).
Nel caso di Signal Plus, l’approccio è stato leggermente diverso. Il malware prelevava una certa quantità di informazioni dallo smartphone della vittima e permetteva agli autori dell’attacco di accedere all’account Signal della vittima dai propri dispositivi senza essere notati, dopodiché potevano leggere tutta la corrispondenza praticamente in tempo reale.
FlyGram è apparso in Google Play a luglio 2020 e vi è rimasto fino a gennaio 2021, mentre Signal Plus è stato pubblicato negli app store a luglio 2022 e rimosso da Google Play solo a maggio 2023. Nel Samsung Galaxy Store, secondo BleepingComputer, entrambe le app erano ancora disponibili alla fine di agosto 2023. Anche se ora sono completamente sparite da questi app store, quanti utenti ignari continuano a utilizzare queste mod di messaggistica “semplici e veloci” che espongono tutti i loro messaggi a occhi indiscreti?
Indirizzi di portafogli di criptovalute falsificati in WhatsApp e Telegram
Solo pochi mesi fa, gli stessi ricercatori di sicurezza hanno scoperto una serie di versioni Trojan di WhatsApp e Telegram mirate principalmente al furto di criptovalute. Funzionano falsificando gli indirizzi del portafoglio di criptovalute nei messaggi, in modo da intercettare i trasferimenti in entrata.
Una versione infetta di WhatsApp (a sinistra) falsifica l’indirizzo del portafoglio di criptovalute in un messaggio per il destinatario, che dispone della versione ufficiale e non infetta di WhatsApp (a destra). (Fonte)
Inoltre, alcune delle versioni trovate utilizzano il riconoscimento delle immagini per cercare negli screenshot archiviati nella memoria dello smartphone le seed phrase, una serie di parole in codice che possono essere utilizzate per ottenere il pieno controllo di un portafoglio di criptovalute e quindi svuotarlo.
Inoltre, alcune delle false app Telegram rubavano le informazioni sul profilo utente archiviate nel cloud Telegram: file di configurazione, numeri di telefono, contatti, messaggi, file inviati/ricevuti e così via. Fondamentalmente, sottraevano tutti i dati dell’utente ad eccezione delle chat segrete create su altri dispositivi. Tutte queste app sono state distribuite non in Google Play, ma attraverso numerosi siti falsi e canali YouTube.
Come proteggersi
Per concludere, alcuni suggerimenti su come proteggersi dalle versioni infette degli strumenti di messaggistica più popolari, nonché da altre minacce che prendono di mira gli utenti Android:
- Come abbiamo visto, anche Google Play non è immune ai malware. Detto questo, gli app store ufficiali sono comunque molto più sicuri di altre fonti. Quindi, usali sempre per scaricare e installare le app.
- Come chiarito da questo post, i client alternativi per gli strumenti di messaggistica più popolari dovrebbero essere trattati con estrema cautela. Il codice open source consente a chiunque di creare mod e riempirle di ogni sorta di brutte sorprese.
- Prima di installare anche l’app più ufficiale dallo store online più ufficiale, osserva attentamente la sua pagina e assicurati che sia autentica: presta attenzione non solo al nome, ma anche allo sviluppatore. I cybercriminali spesso cercano di ingannare gli utenti creando cloni di app con descrizioni simili all’originale.
- È consigliabile leggere le recensioni negative degli utenti: se c’è un problema con un’app, molto probabilmente qualcuno lo avrà già individuato e avrà scritto qualcosa al riguardo.
- Inoltre, assicurati di installare una protezione affidabilesu tutti i tuoi dispositivi Android, che ti avviserà se un malware tenta di penetrare nel sistema.
- Se utilizzi la versione gratuita di Kaspersky: Antivirus & VPN, ricordati di eseguire la scansione manuale del dispositivo dopo l’installazione e prima di eseguire qualsiasi app per la prima volta.
- La scansione delle minacce viene eseguita automaticamente nella versione completa della nostra soluzione di protezione per Android, inclusa nei piani di abbonamento Kaspersky Standard, Kaspersky Plus e Kaspersky Premium.
Consigli