{"id":28008,"date":"2023-09-19T10:50:11","date_gmt":"2023-09-19T08:50:11","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28008"},"modified":"2023-09-19T10:50:11","modified_gmt":"2023-09-19T08:50:11","slug":"telegram-signal-malware-in-google-play","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/telegram-signal-malware-in-google-play\/28008\/","title":{"rendered":"Strumenti di messaggistica spyware in Google Play"},"content":{"rendered":"

Per strumenti di messaggistica molto popolari come Telegram, Signal e WhatsApp sono disponibili alcuni client<\/a> alternativi. Queste app modificate, denominate mod, spesso forniscono agli utenti funzionalit\u00e0 e capacit\u00e0 che non sono disponibili nei client ufficiali.<\/p>\n

Mentre WhatsApp disapprova le mod, bandendole periodicamente dagli app store ufficiali, Telegram non solo non ha mai contrastato i client alternativi, ma ne incoraggia attivamente la creazione<\/a>, quindi le mod di Telegram stanno spuntando come funghi. Ma sono sicure?<\/p>\n

Purtroppo, diversi studi recenti mostrano che le mod degli strumenti di messaggistica dovrebbero essere trattate con grande cautela. Sebbene la maggior parte degli utenti si fidi ancora ciecamente di qualsiasi app verificata e pubblicata su Google Play, abbiamo pi\u00f9 volte evidenziato<\/a> i pericoli: durante il download di un\u2019app da Google Play, potresti anche imbatterti in un Trojan<\/a> (che ha fatto registrare pi\u00f9 di 100 milioni di download!), una backdoor<\/a>, un subscriber<\/a> dannoso e\/o molti altri elementi pericolosi<\/a>.<\/p>\n

Novit\u00e0: versioni infette di Telegram in cinese e uiguro in Google Play<\/h2>\n

Iniziamo con una storia recente. I nostri esperti hanno scoperto diverse app infette<\/a> in Google Play, mascherate come versioni di Telegram in uiguro, cinese semplificato e cinese tradizionale. Le descrizioni delle app sono scritte nelle rispettive lingue e contengono immagini molto simili a quelle della pagina ufficiale di Telegram<\/a> su Google Play.<\/p>\n

Per convincere gli utenti a scaricare queste mod invece dell\u2019app ufficiale, lo sviluppatore afferma che funzionano pi\u00f9 velocemente degli altri client grazie a una rete distribuita di data center in tutto il mondo.<\/p>\n

\"Versioni

Versioni di Telegram in cinese semplificato, cinese tradizionale e uiguro in Google Play che nascondono uno spyware<\/p><\/div>\n

A prima vista, queste app sembrano cloni di Telegram a tutti gli effetti con un\u2019interfaccia localizzata. Hanno praticamente lo stesso aspetto e le stesse funzionalit\u00e0 dell\u2019app originale.<\/p>\n

Abbiamo dato un\u2019occhiata al codice e abbiamo scoperto che le app erano poco pi\u00f9 che versioni leggermente modificate di quella ufficiale. Detto questo, c\u2019\u00e8 una piccola differenza che \u00e8 sfuggita all\u2019attenzione dei moderatori di Google Play: le versioni infette contengono un modulo aggiuntivo. Monitora costantemente ci\u00f2 che accade nello strumento di messaggistica e invia grandi quantit\u00e0 di dati al server di comando e controllo dei creatori dello spyware: tutti i contatti, i messaggi inviati e ricevuti con file allegati, i nomi di chat\/canali, il nome e il numero di telefono del proprietario dell\u2019account. In pratica, l\u2019intera corrispondenza dell\u2019utente. Se un utente cambia nome o numero di telefono, perfino queste informazioni vengono inviate ai truffatori.<\/p>\n

In precedenza: versioni spyware di Telegram e Signal in Google Play<\/h2>\n

\u00c8 interessante notare che poco tempo fa i ricercatori di ESET hanno trovato<\/a> un\u2019altra versione spyware di Telegram: FlyGram. \u00c8 vero: questa app non ha nemmeno provato a presentarsi come quella ufficiale. Invece, si presentava come un client Telegram alternativo (ovvero una semplice mod) ed \u00e8 stata resa disponibile non solo in Google Play, ma anche nel Samsung Galaxy Store.<\/p>\n

La cosa ancora pi\u00f9 curiosa \u00e8 che i suoi creatori non si sono limitati a imitare solo Telegram. Hanno anche pubblicato negli stessi app store una versione infetta di Signal, chiamata Signal Plus Messenger. Per una maggiore credibilit\u00e0, sono persino arrivati a creare i siti Web flygram[.]org e signalplus[.]org per le loro app false.<\/p>\n

\"Signal

In Google Play c\u2019\u00e8 anche un client spyware per Signal, chiamato Signal Plus Messenger. (Fonte<\/a>)<\/p><\/div>\n

Queste app equivalevano in tutto e per tutto agli strumenti di messaggistica Telegram\/Signal, ma il loro codice open source includeva elementi dannosi.<\/p>\n

Cos\u00ec FlyGram ha imparato a rubare i contatti, la cronologia delle chiamate, un elenco di account Google e altre informazioni dallo smartphone della vittima, nonch\u00e9 a creare \u201ccopie di backup\u201d della corrispondenza da archiviare\u2026 naturalmente sui server dei creatori dell\u2019app (anche se questa \u201copzione\u201d doveva essere attivata in modo indipendente dall\u2019utente nello strumento di messaggistica modificato).<\/p>\n

Nel caso di Signal Plus, l\u2019approccio \u00e8 stato leggermente diverso. Il malware prelevava una certa quantit\u00e0 di informazioni dallo smartphone della vittima e permetteva agli autori dell\u2019attacco di accedere all\u2019account Signal della vittima dai propri dispositivi senza essere notati, dopodich\u00e9 potevano leggere tutta la corrispondenza praticamente in tempo reale.<\/p>\n

FlyGram \u00e8 apparso in Google Play a luglio 2020 e vi \u00e8 rimasto fino a gennaio 2021, mentre Signal Plus \u00e8 stato pubblicato negli app store a luglio 2022 e rimosso da Google Play solo a maggio 2023. Nel Samsung Galaxy Store, secondo BleepingComputer<\/a>, entrambe le app erano ancora disponibili alla fine di agosto 2023. Anche se ora sono completamente sparite da questi app store, quanti utenti ignari continuano a utilizzare queste mod di messaggistica \u201csemplici e veloci\u201d che espongono tutti i loro messaggi a occhi indiscreti?<\/p>\n

Indirizzi di portafogli di criptovalute falsificati in WhatsApp e Telegram<\/h2>\n

Solo pochi mesi fa, gli stessi ricercatori di sicurezza hanno scoperto<\/a> una serie di versioni Trojan di WhatsApp e Telegram mirate principalmente al furto di criptovalute. Funzionano falsificando gli indirizzi del portafoglio di criptovalute nei messaggi, in modo da intercettare i trasferimenti in entrata.<\/p>\n

\"Una

Una versione infetta di WhatsApp (a sinistra) falsifica l\u2019indirizzo del portafoglio di criptovalute in un messaggio per il destinatario, che dispone della versione ufficiale e non infetta di WhatsApp (a destra). (Fonte<\/a>)<\/p><\/div>\n

Inoltre, alcune delle versioni trovate utilizzano il riconoscimento delle immagini per cercare negli screenshot archiviati nella memoria dello smartphone le seed phrase, una serie di parole in codice che possono essere utilizzate per ottenere il pieno controllo di un portafoglio di criptovalute<\/a> e quindi svuotarlo.<\/p>\n

Inoltre, alcune delle false app Telegram rubavano le informazioni sul profilo utente archiviate nel cloud Telegram: file di configurazione, numeri di telefono, contatti, messaggi, file inviati\/ricevuti e cos\u00ec via. Fondamentalmente, sottraevano tutti i dati dell\u2019utente ad eccezione delle chat segrete<\/a> create su altri dispositivi. Tutte queste app sono state distribuite non in Google Play, ma attraverso numerosi siti falsi e canali YouTube.<\/p>\n

Come proteggersi<\/h2>\n

Per concludere, alcuni suggerimenti su come proteggersi dalle versioni infette degli strumenti di messaggistica pi\u00f9 popolari, nonch\u00e9 da altre minacce che prendono di mira gli utenti Android:<\/p>\n