A marzo di quest’anno, una ricerca condotta da ESET ha portato alla luce numerose versioni trojanizzate delle app di messaggistica istantanea Telegram e Whatasapp.
Le segnalazioni sono proseguite anche durante l’estate. In quel caso, a finire nel mirino, sono state versioni fake delle app Telegram e Signal.
Sebbene siano vicende pressoché indipendenti, entrambe evidenziano un fenomeno alquanto preoccupante: la circolazione di applicazioni fraudolente indirizzate tanto ad Android, quanto a Windows.
In questo articolo, approfondiamo questi due episodi apparentemente distanti, per far luce su dinamiche e potenziali misure di difesa.
- False app Telegram e WhatsApp: i dettagli della vicenda
- Il caso delle finte app Telegram e Signal su Google Play
- Cosa fare in caso di app sospetta installata sul proprio dispositivo
- Conclusioni
False app Telegram e WhatsApp: i dettagli della vicenda
Per quanto riguarda le finte app Telegram e WhatsApp, le prime segnalazioni risalgono a marzo 2023.
Secondo i ricercatori ESET, in quel periodo erano in circolazione dozzine di app fraudolente spacciate per i noti servizi di messaggistica.
Pare che la fonte fosse una campagna adware distribuita tramite Google Ads e canali YouTube fasulli.
In sostanza, tramite inserzioni pubblicitarie ingannevoli, si reindirizzava l’utente su una landing page di phishing pressoché identica al portale ufficiale Telegram o WhatsApp.
Una volta avviato il download, si scaricava la versione trojanizzata dell’applicativo, contenente anche un malware clipper.
Gli obiettivi del malware clipper
Ancor più della dinamica di diffusione, a stupire sono le capacità e gli obiettivi di questa particolare tipologia di malware.
Nello specifico, quello installato nelle versioni fasulle di Telegram e WhatsApp era in grado di:
- Intercettare le porzioni di testo copiate negli appunti dall’utente e modificarne il contenuto nella clipboard
- Sfruttare il Riconoscimento Ottico dei Caratteri (OCR) per scansionare gli screenshot ed esfiltrare potenziali dati sensibili
In sostanza, questi malware compromettono la funzione copia-incolla dei dispositivi, particolarmente utilizzata sia su mobile che su desktop.
Infatti, quando si copia un contenuto testuale o si cattura una schermata, l’elemento selezionato viene trasferito in una sezione provvisoria: la clipboard, appunto.
A questo punto, l’agente malevolo è in grado di:
- modificare la sequenza di caratteri copiata
- intercettare potenziali informazioni riservate dagli screenshot scattati dall’utente
In particolare, in questa vicenda, nel mirino dei cybercriminali figuravano i wallet di criptovaluta.
Sfruttando questa tecnica, infatti, gli indirizzi dei portafogli di criptovaluta degli utenti venivano sostituiti con altri controllati dagli stessi aggressori.
Il caso delle finte app Telegram e Signal su Google Play
Un caso ancora più allarmante di circolazione di app malevole è emerso lo scorso luglio, quando su Google Play Store sono state rilevate app fake di Telegram e Signal.
Come leva di ingegneria sociale gli hacker pubblicizzavano presunte funzionalità accessorie, con cui riuscivano a giustificare anche le modifiche nei nomi: rispettivamente, Signal Plus Messenger e FlyGram.
In particolare, la versione fake di Signal sembra essere rimasta su Play Store per circa nove mesi, totalizzando un centinaio di download.
Tuttavia, si pensa che fosse in circolazione da molto più tempo su siti contraffatti.
Pare che anche FlyGram non fosse presente solo sullo store Google, ma circolasse come file APK sulle chat della vera app Telegram.
In aggiunta, queste app fake nascondevano anche uno spyware, noto come BadBazaar, in grado di esfiltrare svariate informazioni sui dispositivi.
In particolare, si trattava di:
- Numero IMEI e indirizzo MAC
- Numero di telefono
- Dettagli sull’operatore e dati sulla posizione
Cosa fare in caso di app sospetta installata sul proprio dispositivo
Come abbiamo visto, le app fasulle, spesso ribattezzate app spia, rappresentano un grosso rischio in termini di privacy e tutela dei dati personali.
Per tale ragione, sarà bene tenere a mente alcuni segnali che potrebbero indicare la presenza di presunte app sospette sul proprio device.
Tra questi, i più evidenti sono sicuramente:
- Comparsa di app sconosciute o non intenzionalmente scaricate dall’utente
- Rallentamento nelle prestazioni del dispositivo
- Consumo eccessivo di batteria e traffico dati
Questi comportamenti anomali sono causati dallo stesso agente malevolo, capace di eseguire operazioni in background.
Di conseguenza, CPU, RAM e azioni specifiche vengono eseguite senza che l’utente ne sia in alcun modo consapevole.
Conclusioni
La vicenda delle finte app WhatsApp, Telegram e Signal ci dimostra quanto il confine tra uno strumento legittimo e malevolo sia diventato sempre più labile.
Le app fasulle, infatti, sono spesso indistinguibili da quelle ufficiali, il che espone maggiormente al rischio utenti meno esperti o poco attenti.
Tuttavia, va sottolineato che la vicenda ha preso di mira principalmente il mercato asiatico, in particolare quello cinese.
In questi Paesi infatti, app come WhatsApp e Telegram sono vietate, per cui gli utenti si rivolgono spesso a versioni piratate, mettendo di fatto in secondo piano la sicurezza.
In ogni caso, indipendentemente dai singoli episodi, la raccomandazione principale resta sempre quella di scaricare app sempre da fonti legittime e ufficiali, evitando pubblicità e portali sospetti.
- Autore articolo
- Gli ultimi articoli
Classe 1990, dopo la laurea in Scienze Politiche mi sono trasferita in Inghilterra. Ho sempre amato la scrittura e ad oggi mi occupo, oltre che di digital marketing, di copywriting e Seo. La curiosità guida ogni ambito in cui opero, infatti non smetto mai di aggiornarmi e studiare.