Come ci si poteva immaginare anche il servizio pubblico di allerta “IT-Alert” gestito dalla Protezione Civile italiana, per avvisare la popolazione durante catastrofi o gravi emergenze imminenti o in corso, è finito per essere sfruttato dal cyber crime.
Il falso sito IT-Alert
I ricercatori italiani del D3Lab hanno individuato un falso sito di IT-Alert (italy-governo[.]site) ora oscurato, che avvertiva di un’elevata possibilità di un’imminente eruzione vulcanica con conseguente terremoto nazionale, invitando i visitatori a installare l’app per rimanere informati.
Come spiegato dai ricercatori qualora si faceva click sul pulsante “scaricamento” da un dispositivo iOS, l’utente veniva reindirizzato al sito IT-alert ufficiale, mentre da Android gli utenti finivano col ricevere un file APK “IT-Alert.apk”, che installava il malware SpyNote sul dispositivo.
Il malware Android Spynote
Il malware SpyNote per Android è stato documentato per la prima volta nel 2022 ed è ora alla sua terza versione principale, venduta come servizio ai criminali informatici tramite Telegram. Sfruttando l’autorizzazione a utilizzare i servizi di accessibilità eventualmente concessa dalla vittima, il malware consente agli attaccanti di eseguire un’ampia gamma di azioni invasive sul dispositivo compromesso e carpire dati inviando il tutto ad un server C2 presidiato dagli stessi criminali:
- Può eseguire attacchi di overlay per rubare le credenziali dell’utente quando la vittima apre applicazioni bancarie, wallet di criptovaluta e social media;
- Può effettuare la registrazione tramite fotocamera, il rilevamento della posizione GPS e di rete, il keylogging standard, l’acquisizione di screenshot, la registrazione delle telefonate e il targeting degli account Google e Facebook.
Come proteggersi
Nel ricordare che non è necessario scaricare alcuna app per ricevere i messaggi IT-alert, per difendersi da queste minacce in generale è buona regola evitare di scaricare e installare APK da store di terze parti non ufficiali.
“I messaggi IT-alert viaggiano attraverso cell-broadcast. Ogni dispositivo mobile connesso alle celle delle reti degli operatori di telefonia mobile, se acceso, può ricevere un messaggio IT-alert.”, spiega il Dipartimento della Protezione Civile sul portale ufficiale IT-Alert e conclude, “Il cell-broadcast funziona anche in casi di campo limitato o in casi di saturazione della banda telefonica. I dispositivi non ricevono i messaggi IT-alert se sono spenti o se privi di campo e potrebbero non suonare se con suoneria silenziata.”.
Ulteriori IoC sul rapporto D3Lab.
Nel frattempo anche dal profilo ufficiale X del sistema nazionale d’allarme pubblico arriva un avviso.