Aggiornamenti recenti Dicembre 8th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 29 novembre – 5 dicembre: phishing a tema Governo italiano e Agenzia delle Entrate
- Iniezione indiretta di prompt: a rischio le informazioni aziendali
- Dark Telegram in ritirata: aumentano le chiusure dei canali clandestini
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
- ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
Software spia per Android camuffato da app per gli utenti Tre
L’applicazione viene presentata come un aggiornamento, ma in realtà è programmata per rubare informazioni e messaggi.
Più che un classico malware, l’app malevola per Android individuata da CSE ha tutta l’aria di essere una di quelle applicazioni utilizzate per spiare utenti specifici, simile a quelle che molte società vendono a caro prezzo alle forze di polizia o ai servizi segreti. Una cosa è certa, però: 3Mobile Updater è stata pensata e progettata appositamente per colpire bersagli residenti in Italia.
I ricercatori di CSE non spiegano dove l’abbiano individuata, ma dall’analisi del codice che compone l’APK per la sua installazione è evidente che gli autori hanno (per lo meno) dei forti legami con l’Italia.
In sintesi, 3Mobile Updater è stata realizzata per apparire come un software per l’aggiornamento dedicato agli utenti di Tre Italia, ma al suo interno nasconde ben altro.
L’app (ma forse definirlo trojan sarebbe più appropriato) è in grado di raccogliere un gran numero di informazioni dal dispositivo su cui viene installata: dai social media all’elenco dei contatti, per finire con la possibilità di utilizzare la fotocamera per registrare immagini e il microfono per registrare audio ambientale.
Il tutto viene memorizzato in un database conservato in locale che viene poi caricato su un server Command and Control gestito dagli autori dell’app.
Insomma: l’impressione è che CSE si sia imbattuta in un software spia di alto livello, forse ancora in una versione in fase di sviluppo. Dall’analisi, infatti, emerge che in molte parti del codice compare il termine “Test”. L’app potrebbe quindi essere in una sorta di “fase embrionale”.
L’unico segnale dell’attività dell’app è rappresentato da questo messaggio in inglese. Ma dietro le quinte il trojan si da un gran da fare…
A supportare questa ipotesi c’è anche il fatto che l’esemplare individuato dai ricercatori non contiene alcuno strumento per nasconderne l’attività. Nonostante l’app visualizzi solo un messaggio di dialogo al suo avvio e poi agisca dietro le quinte, la funzione di debug è attiva e tutte le operazioni che compie vengono quindi registrate nel logo di Android.
Di solito malware di questo tipo non vengono diffusi “a tappeto” e tantomeno caricati sugli store ufficiali per Android, ma inviata attraverso email o SMS di phishing ai singoli bersagli che vengono presi di mira dagli spioni.
Condividi l'articolo
MailSploit: ecco come “camuffare” il mittente dell’email
Esperti di sicurezza e forze di polizia abbattono la botnet Andromeda
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 29 novembre – 5 dicembre: phishing a tema... Nel periodo compreso tra il 29 novembre e il 5... -
Dark Telegram in ritirata: aumentano le chiusure dei canali... Dark Telegram, il regno dei canali clandestini, non sembra... -
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3... -
Coupang conferma il data breach: esposti i dati di oltre 30... Coupang, colosso del retail sud-coreano, ha confermato di...
Ransomware: la serie
No posts found.