IT-Alert, un falso sito veicola il malware Android Spynote

Come ci si poteva immaginare anche il servizio pubblico di allerta “IT-Alert” gestito dalla Protezione Civile italiana, per avvisare la popolazione durante catastrofi o gravi emergenze imminenti o in corso, è finito per essere sfruttato dal cyber crime.

Il falso sito IT-Alert

I ricercatori italiani del D3Lab hanno individuato un falso sito di IT-Alert (italy-governo[.]site) ora oscurato, che avvertiva di un’elevata possibilità di un’imminente eruzione vulcanica con conseguente terremoto nazionale, invitando i visitatori a installare l’app per rimanere informati.

Fonte D3Lab

Come spiegato dai ricercatori qualora si faceva click sul pulsante “scaricamento” da un dispositivo iOS, l’utente veniva reindirizzato al sito IT-alert ufficiale, mentre da Android gli utenti finivano col ricevere un file APK “IT-Alert.apk”, che installava il malware SpyNote sul dispositivo.

Il malware Android Spynote

Il malware SpyNote per Android è stato documentato per la prima volta nel 2022 ed è ora alla sua terza versione principale, venduta come servizio ai criminali informatici tramite Telegram. Sfruttando l’autorizzazione a utilizzare i servizi di accessibilità eventualmente concessa dalla vittima, il malware consente agli attaccanti di eseguire un’ampia gamma di azioni invasive sul dispositivo compromesso e carpire dati inviando il tutto ad un server C2 presidiato dagli stessi criminali:

  • Può eseguire attacchi di overlay per rubare le credenziali dell’utente quando la vittima apre applicazioni bancarie, wallet di criptovaluta e social media;
  • Può effettuare la registrazione tramite fotocamera, il rilevamento della posizione GPS e di rete, il keylogging standard, l’acquisizione di screenshot, la registrazione delle telefonate e il targeting degli account Google e Facebook.

Come proteggersi

Nel ricordare che non è necessario scaricare alcuna app per ricevere i messaggi IT-alert, per difendersi da queste minacce in generale è buona regola evitare di scaricare e installare APK da store di terze parti non ufficiali.

I messaggi IT-alert viaggiano attraverso cell-broadcast. Ogni dispositivo mobile connesso alle celle delle reti degli operatori di telefonia mobile, se acceso, può ricevere un messaggio IT-alert.”, spiega il Dipartimento della Protezione Civile sul portale ufficiale IT-Alert e conclude, “Il cell-broadcast funziona anche in casi di campo limitato o in casi di saturazione della banda telefonica. I dispositivi non ricevono i messaggi IT-alert se sono spenti o se privi di campo e potrebbero non suonare se con suoneria silenziata.”.

Ulteriori IoC sul rapporto D3Lab.

Nel frattempo anche dal profilo ufficiale X del sistema nazionale d’allarme pubblico arriva un avviso.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.