Un nuovo rapporto pubblicato da DomainTools ha acceso i riflettori su una sofisticata campagna di distribuzione del malware SpyNote, che sfrutta domini appena registrati per colpire dispositivi Android. L’indagine rivela una strategia ben strutturata, che punta sull’inganno visivo per indurre gli utenti a scaricare applicazioni infette al di fuori dei canali ufficiali.
Pagine che imitano il Play Store
I cyber criminali hanno registrato numerosi domini che riproducono fedelmente l’interfaccia del Google Play Store. Tra le app falsificate ci sono nomi noti come Google Chrome. Una volta atterrati su questi siti, gli utenti visualizzano caroselli di immagini, pulsanti “Install” e descrizioni verosimili: tutto progettato per guadagnare fiducia. Ma il vero inganno si cela dietro al codice. Cliccando su “Install”, viene attivato uno script JavaScript che avvia silenziosamente il download di un file APK da fonti malevole, come www.kmyjh[.]top/002.apk.
SpyNote
Il malware distribuito, SpyNote, è una minaccia ben nota nel panorama Android. Si tratta di un Remote Access Trojan (RAT) che, una volta installato, può:
- Accedere a SMS, fotocamera e microfono;
- intercettare conversazioni;
- tracciare la posizione del dispositivo;
- inviare comandi da remoto.
SpyNote è stato collegato a gruppi APT (Advanced Persistent Threat) come OilRig (APT34) e APT-C-37, e impiegato anche in operazioni contro personale militare e della difesa in India.
Anche il panorama italiano è stato interessato da minacce simili. Il CERT-AgID ha segnalato campagne di smishing (phishing via SMS) con link a file APK mascherati da app bancarie o di consegna pacchi. Nonostante alcuni di questi file fossero versioni precedenti di SpyNote, il trend indica un’evoluzione costante del malware.
Come proteggersi
- Non installare APK da fonti non ufficiali
- Controllare sempre l’URL del sito web
- Utilizzare antivirus aggiornati su dispositivi mobili
- Segnalare domini sospetti al CERT o alle autorità competenti
La crescente sofisticazione delle minacce Android impone agli utenti maggiore prudenza, soprattutto quando si interagisce con app al di fuori del Play Store. La sicurezza, oggi più che mai, passa anche dalla consapevolezza digitale.
