Come eliminare il malware SpyAgent dal vostro dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è SpyAgent?
SpyAgent è un programma dannoso che colpisce i dispositivi Android. Questo malware ha diverse funzionalità di furto di dati, che sono state utilizzate per rubare portafogli di criptovalute. SpyAgent si infiltra nei sistemi sotto le sembianze di applicazioni legittime o dall'aspetto innocente; sono state scoperte quasi 300 applicazioni false.
Dal gennaio 2024, questo malware è stato utilizzato per colpire gli utenti coreani. Tuttavia, al momento in cui scriviamo, si sta osservando un'espansione verso nuovi territori. SpyAgent è ampiamente proliferato attraverso campagne di phishing, in particolare - SMS di spam (smishing) e DM/PM (messaggi diretti/privati).
Panoramica del malware SpyAgent
Al momento dell'installazione, SpyAgent (camuffato da app innocua) richiede varie autorizzazioni, come il funzionamento in background e l'accesso alla memoria del dispositivo, ai contatti e agli SMS. SpyAgent prende di mira i dati del dispositivo, compreso un elenco di contatti telefonici.
Il malware può rubare i contenuti degli SMS (compresi OTP e 2FA/MFA) e inviare messaggi di testo. Poiché il programma è in grado di inviare SMS, potrebbe utilizzare i dispositivi delle vittime per lo smishing (probabilmente per autoproliferare), oppure potrebbe operare come malware Toll Fraud. SpyAgent può anche modificare le impostazioni audio del telefono, forse per disattivare il suono degli SMS in arrivo.
Tuttavia, il programma si affida a metodi aggiuntivi per nascondere le sue attività dannose e distrarre gli utenti. Ad esempio, la falsa applicazione può presentare alle vittime schermate di caricamento infinite e sovrapposizioni temporanee di schermate vuote/scure, e può produrre reindirizzamenti anomali a vari siti web.
Inoltre, SpyAgent ruba immagini e foto. È stato determinato che l'obiettivo principale del malware è quello di cercare immagini nella speranza di trovare quelle che contengono frasi (mnemoniche) di recupero dei portafogli di criptovalute. Estraendo queste frasi di accesso, gli aggressori possono rubare i portafogli di criptovalute corrispondenti e i beni digitali in essi contenuti.
Va detto che, a causa della natura quasi irrintracciabile di queste transazioni, esse non possono essere annullate e le vittime non possono recuperare i loro fondi.
Gli sviluppatori di malware spesso migliorano il loro software e le loro metodologie, e i responsabili di SpyAgent non fanno eccezione. Questo programma ha subito diversi miglioramenti, tra cui una migliore offuscamento, nuove tecniche di targeting delle vittime e l'espansione a nuove regioni. Il pannello di amministrazione del malware presenta una sezione "iPhone". Sebbene sia attualmente incompatibile con i dispositivi iOS, questo potrebbe essere un indicatore dei piani futuri degli sviluppatori.
In sintesi, la presenza di software dannoso come SpyAgent sui dispositivi può portare a gravi problemi di privacy, perdite finanziarie e persino al furto di identità.
| Nome | SpyAgent virus |
| Tipo di minaccia | Malware Android, applicazione dannosa |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Siggen.Susp.14673), ESET-NOD32 (Una variante di Android/Spy.OcrSpy.A), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.rc), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni del sistema vengono modificate senza il permesso dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo, i browser vengono reindirizzati a siti web discutibili. |
| Metodi di distribuzione | SMS e PM/DM spam, allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffa. |
| Danni | Perdite monetarie, furto diinformazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, enormi perdite di dati, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Rilevamenti di malware specifici per Android
Abbiamo analizzato innumerevoli campioni di malware; EagleSpy, Rocinante e Copybara sono solo un paio dei nostri ultimi articoli sui programmi dannosi che prendono di mira i dispositivi Android.
Il malware può operare in una grande varietà di modi; può avere una serie di capacità incredibilmente specifiche o un'ampia gamma. Tuttavia, indipendentemente dal modo in cui il software dannoso opera, la sua presenza mette a rischio l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere rimosse immediatamente dopo il rilevamento.
Come si è infiltrato SpyAgent nel mio dispositivo?
Come accennato nell'introduzione, SpyAgent è stato notato proliferare attraverso campagne di phishing facilitate da SMS di spam e messaggi privati/diretti (PM/DM). Lo spam può essere mascherato da messaggi provenienti da entità reali o da mittenti dall'aspetto innocuo.
Questi SMS e PM/DM inducono le vittime ad aprire pagine web dannose, alcune delle quali copiano perfettamente il design di siti legittimi. SpyAgent indossa vari travestimenti, che vanno da software associati a enti governativi ad applicazioni di streaming. Sono state scoperte 2800 applicazioni.
Dall'inizio dell'inverno del 2024, SpyAgent è stato utilizzato in campagne rivolte agli utenti coreani. Al momento della ricerca, è stata osservata l'emergere di una nuova campagna, incentrata sugli utenti del Regno Unito.
Poiché SpyAgent può inviare messaggi di testo, potrebbe utilizzare i dispositivi delle vittime per lanciare campagne di smishing. Pertanto, gli SMS che diffondono SpyAgent potrebbero provenire da mittenti noti, cioè inviati ai contatti della vittima iniziale. Tuttavia, sono possibili altri metodi di distribuzione.
Le tecniche di proliferazione del malware più diffuse includono: allegati o link dannosi nello spam (ad esempio, SMS, PM/DM, e-mail, post sui social media, ecc.), download drive-by (furtivi/ingannevoli), truffe online, malvertising, canali di download dubbi (ad esempio, siti di file-hosting freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), strumenti di attivazione del software illegali ("crack") e falsi aggiornamenti.
Alcuni programmi dannosi possono diffondersi autonomamente attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
Come evitare l'installazione di malware?
Si consiglia vivamente di prestare attenzione alla posta in arrivo (ad esempio, e-mail, PM/DM, SMS, ecc.). Gli allegati o i link presenti nei messaggi sospetti/irrilevanti non devono essere aperti, perché possono essere dannosi. Un'altra raccomandazione è quella di fare attenzione durante la navigazione, poiché Internet è pieno di contenuti fraudolenti e pericolosi ben mascherati.
Inoltre, tutti i download devono essere effettuati da fonti ufficiali e verificate. Il software deve essere attivato e aggiornato utilizzando funzioni/strumenti forniti da sviluppatori legittimi, poiché quelli ottenuti da terzi possono contenere malware.
Per l'integrità del dispositivo e la sicurezza dell'utente è fondamentale installare e tenere aggiornato un antivirus affidabile. I programmi di sicurezza devono essere utilizzati per eseguire scansioni regolari del sistema e per rimuovere le minacce rilevate.
Esempi di messaggi di spam utilizzati per indurre le vittime a scaricare SpyAgent (fonte: McAfee):
Esempio di un falso sito che promuove SpyAgent e della falsa applicazione che chiede le autorizzazioni (fonte: McAfee):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrete verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccatela. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuare i siti Web che forniscono notifiche del browser, toccarli e fare clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Reimpostare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Memoria".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccate il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up che si apre, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e potrete eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia su rete mobile che su rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Andate su "Impostazioni", scorrete verso il basso fino a visualizzare "Informazioni sul telefono" e toccatelo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrete verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccatelo e quindi toccate "App di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware SpyAgent, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede misure così drastiche.
Quali sono i maggiori problemi che il malware SpyAgent può causare?
I pericoli posti da un'infezione dipendono dalle funzionalità del malware e dagli obiettivi dei criminali informatici. SpyAgent può rubare e inviare SMS, nonché scaricare immagini dai dispositivi delle vittime. Questo programma è stato utilizzato per scansionare le immagini rubate alla ricerca di credenziali di accesso al cryptowallet (passphrase). Infezioni di questo tipo sono associate a gravi problemi di privacy, perdite finanziarie e furti di identità.
Qual è lo scopo del malware SpyAgent?
Il malware è usato più comunemente a scopo di lucro. Tuttavia, i criminali informatici possono utilizzare il software dannoso anche per divertirsi, portare avanti vendette personali, interrompere processi (ad esempio, siti web, servizi, aziende, organizzazioni, ecc.) e lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware SpyAgent nel mio dispositivo Android?
SpyAgent è stato diffuso attivamente tramite SMS e spam DM/PM sotto le sembianze di applicazioni legittime/innocenti. Sono possibili altri metodi.
Oltre allo spam, il malware viene comunemente distribuito tramite download drive-by, truffe online, malvertising, fonti di download sospette (ad esempio, siti di hosting di file freeware e gratuiti, reti di condivisione Peer-to-Peer, app store di terze parti e così via), strumenti illegali di attivazione del software ("crack") e falsi aggiornamenti. Inoltre, alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Sì, Combo Cleaner è progettato per scansionare i dispositivi ed eliminare ogni tipo di minaccia. È in grado di rilevare e rimuovere praticamente tutte le infezioni da malware conosciute. Tenete presente che l'esecuzione di una scansione completa del sistema è fondamentale, poiché i programmi maligni più sofisticati si nascondono in genere in profondità nei sistemi.
Eccezionale!
▼ Mostra Discussione