È stato scoperto un virus che usando IT-Alert, il nuovo sistema di allarme pubblico nazionale che invia messaggi alla popolazione per avvertirla di gravi emergenze, rubava le informazioni delle vittime.
I ricercatori della D3Lab, un’azienda di sicurezza informatica, hanno, infatti, scoperto la diffusione di un malware Android che imitava il sistema di notifiche di IT-Alert.
Sfruttata la paura delle persone
Per veicolare il virus è bastato sfruttare una paura che attualmente sta mettendo in allarme la regione Campania: quella del rischio terremoto e di un’eruzione vulcanica nella zona dei Campi Flegrei a Napoli.
Il messaggio inviato agli utenti Android avverte, infatti, di un possibile terremoto nazionale dovuto a un’eruzione vulcanica e li invita a scaricare un’applicazione cliccando su un link: “A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita.”
Una volta premuto il pulsante però, si esegue il download di un file, chiamato IT-Alert.apk, che installa sullo smartphone un malware della famiglia SpyNote.
Cosa fa il malware SpyNote
L’obiettivo di questa campagna è rubare le informazioni bancarie dei cittadini al fine di svuotare i loro conti. Sfruttando la nuova piattaforma di avvisi e la scarsa consapevolezza che questa non è un’applicazione ma un servizio che funziona senza alcuna azione da parte degli utenti, i truffatori cercano di ingannare le vittime.
SpyNote è uno spyware con funzionalità RAT (Remote Access Trojan) noto sin dal 2022, è in grado di eseguire operazioni sullo smartphone senza che il proprietario legittimo se ne accorga, persino con lo schermo oscurato. Viene solitamente venduto tramite Telegram dal suo creatore CypherRat.
Una volta installato, lo spyware consente può simulare interazioni utente, come il clic su pulsanti di login o recupero password, e accedere alla fotocamera del dispositivo per inviare foto o video al server Command-and-Control (C&C), consentendo di estrarre informazioni personali dal dispositivo infetto e inviando il tutto ad un server gestito dagli hacker.
Inoltre, SpyNote è in grado di rubare le credenziali utente, inclusi dati da applicazioni bancarie e social. Ciò avviene ingannando gli utenti con pagine web personalizzate che assomigliano alle legittime, indirizzandoli a inserire le credenziali durante il normale processo di login. Questo virus è pericoloso perchè riesce a sfruttare anche la funzione di Accessibilità per acquisire i codici di autenticazione a due fattori (2FA).
Non esiste App It-Alert, attenzione ai falsi messaggi
La protezione civile ha messo subito in guardia con una comunicazione ufficiale per avvertire i cittadini italiani di fare attenzione e non di cadere nella truffa di un’app falsa chiamata IT-Alert.
“Attenzione ai messaggi fake che invitano a scaricare una App IT-Alert: si tratta di un virus, il Dipartimento della Protezione Civile al momento non ha sviluppato alcuna App. L’unico sito ufficiale è http://italert.gov.it” il messaggio su X della protezione Civile.
Come funziona IT-Alert
Già nella sua comunicazione istituzionale la Protezione Civile aveva avvertito che la trasmissione dei messaggi tramite IT-Alert è gratuita e anonima, non richiede l’attivazione della geolocalizzazione né la registrazione online, nemmeno per il questionario anonimo. Il sistema sfrutta la tecnologia cell-broadcast inviando messaggi a gruppi di celle geograficamente vicine in aree specifiche colpite da un’emergenza.
È importante quindi ribadire che non esiste un’app dedicata a IT-Alert e che qualsiasi messaggio che chiede di scaricare un’app per i test di IT-Alert o per compilare un questionario è una truffa.
Test completati nelle regioni
Intanto i test di IT-Alert in tutte le regioni sono stati ultimati. L’ultima prova è avvenuta il 13 ottobre nella Provincia di Bolzano e nelle aree del bacino del fiume Brenta nella Provincia di Trento.
IT-Alert diventerà operativo a partire da febbraio 2024.
