Una sofisticata campagna malevola è attualmente in corso, mirata a compromettere dispositivi Android in Italia attraverso il malware SpyNote, mascherato sotto l’apparenza dell’applicazione “INPS Mobile”, distribuita tramite un dominio appena creato per ingannare le vittime.
La pagina di phishing, segnalata da D3lab al CERT-AGID, imita accuratamente i loghi e i contenuti ufficiali dell’Istituto Nazionale della Previdenza Sociale (INPS). In home page, offre una guida dettagliata per il download e l’installazione della falsa applicazione INPS Mobile, che promette di fornire servizi ufficiali ma in realtà nasconde intenzioni malevole.
Le vittime che seguono le false istruzioni ricevono un file in formato APK sul proprio dispositivo. Una volta installato, il file richiede un aggiornamento e chiede l’autorizzazione a determinati permessi. Successivamente, l’app mostra la pagina reale del sito INPS.
L’applicazione contiene stringhe crittografate per decifrare l’algoritmo AES. Questo APK nasconde il vero malware. Una volta installato sul dispositivo, scarica e installa un altro file APK opportunatamente nascosto. Il malware in questione è stato identificato come SpyNote. Questo malware, noto per la sua pericolosità, agisce in modo subdolo, auto-abilitando le autorizzazioni, rilevando emulatori, localizzando il dispositivo, registrando tasti premuti (keylogging), intercettando SMS, rubando dati sensibili come password e informazioni di carte di credito, catturando schermate, registrando chiamate e comunicando con un server di comando e controllo (C2) per l’installazione di ulteriori payload.
Questi attacchi mirano a ottenere il controllo totale sui dispositivi Android, rubare dati personali e condurre attività di spionaggio. Per garantire la sicurezza digitale, è essenziale rimanere vigili e assicurarsi di scaricare l’applicazione INPS esclusivamente dagli store ufficiali o direttamente dalla pagina istituzionale.
Al fine di contrastare questa campagna, il CERT-AgID ha condiviso gli Indicatori di Compromissione (IoC) rilevati con le Pubbliche Amministrazioni accreditate al Flusso IoC.
https://cert-agid.gov.it/news/rilevata-campagna-malware-spynote-mascherata-come-app-inps-mobile/
