Come rimuovere il malware NoviSpy dal vostro dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è NoviSpy?
NoviSpy è un programma dannoso che colpisce i dispositivi Android. È classificato come spyware, un tipo di malware progettato per la sorveglianza furtiva e il furto di dati.
L'attività di NoviSpy è stata associata all'Agenzia serba per l'intelligence di sicurezza (BIA). Negli ultimi anni, questo spyware è stato utilizzato per infettare decine, potenzialmente centinaia di dispositivi. NoviSpy è stato utilizzato per colpire giornalisti e attivisti.
Panoramica del malware NoviSpy
Il metodo utilizzato per infiltrare NoviSpy nei dispositivi è interessante e viene illustrato di seguito. Come la maggior parte dei programmi dannosi per Android, NoviSpy abusa dei servizi di accessibilità. I servizi di accessibilità di Android sono progettati per offrire un ulteriore aiuto nell'interazione con il dispositivo agli utenti che lo richiedono. Hanno una serie di capacità (ad esempio, lettura dello schermo, simulazione del touchscreen, ecc.), che il malware acquisisce e può sfruttare a piacimento.
NoviSpy viene installato a livello di kernel. Questo spyware può estrarre elenchi di contatti, SMS e registri delle chiamate. Può anche scaricare file dai dispositivi delle vittime. Questo programma raccoglie anche dati di geolocalizzazione. NoviSpy può registrare audio e video attraverso il microfono e le fotocamere del dispositivo.
Inoltre, il malware NoviSpy è in grado di estrarre schermate da varie applicazioni come client di posta elettronica e messenger (ad esempio, WhatsApp, Signal, ecc.).
Va detto che gli sviluppatori di malware sono soliti migliorare il proprio software e le proprie metodologie. Pertanto, potenziali iterazioni future di NoviSpy potrebbero avere funzionalità e caratteristiche aggiuntive/differenti.
In sintesi, la presenza di software come NoviSpy sui dispositivi può causare gravi problemi di privacy, perdite finanziarie e furti di identità. Poiché questo spyware è stato utilizzato per motivi politici e geopolitici, le minacce ad esso associate possono essere ancora maggiori.
| Nome | NoviSpy spyware |
| Tipo di minaccia | Malware Android, applicazione dannosa, spyware. |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), ESET-NOD32 (Una variante di Android/Spy.NoviSpy.A), Ikarus (Trojan-Spy.AndroidOS.Novispy), WithSecure (Malware.ANDROID/NoviSpy.FSQL.Gen), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza l'autorizzazione dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffaldini. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware di tipo spyware
Abbiamo scritto di numerosi programmi dannosi; PlainGnome, BoneSpy e Monokle sono solo un paio di esempi di malware con capacità di spionaggio.
Gli spyware spesso possiedono funzionalità di furto di dati, ma possono anche avere altre capacità, come quelle di registrare la pressione dei tasti o di causare infezioni a catena. Tuttavia, indipendentemente dal modo in cui il malware opera, la sua presenza mette a rischio l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere rimosse immediatamente dopo il rilevamento.
Come si è infiltrato NoviSpy nel mio dispositivo?
Come accennato nell'introduzione, NoviSpy è stato collegato alla Security Intelligence Agency (BIA) della Serbia. È stato scoperto su uno smartphone restituito al suo proprietario - un giornalista - dopo la consegna alla polizia serba.
In questo caso, gli analisti hanno scoperto che il dispositivo infetto è stato sbloccato utilizzando il software di estrazione dati Cellebrite. È stato utilizzato per sfruttare una vulnerabilità zero-day nei prodotti Qualcomm. Una delle vulnerabilità sfruttate è stata identificata come "CVE-2024-43047", ed è stata patchata.
Altre vulnerabilità Qualcomm che potrebbero essere sfruttate sono "CVE-2024-38402", "CVE-2024-21455", "CVE-2024-33060" e "CVE-2024-49848". Si ipotizza che NoviSpy possa infiltrarsi nei dispositivi attraverso una catena di exploit, in cui più vulnerabilità vengono sfruttate per introdurre il malware nei sistemi.
Tuttavia, NoviSpy è stato utilizzato per infettare un numero considerevole di dispositivi Android, forse addirittura centinaia. Tra i bersagli ci sono giornalisti, attivisti per i diritti umani e manifestanti. Sebbene NoviSpy sia stato iniettato nei sistemi attraverso il sequestro fisico di un telefono, questa non è l'unica tecnica utilizzata per proliferare.
Uno dei metodi sospettati è lo sfruttamento di una vulnerabilità "zero-click" (senza interazione) attraverso telefonate effettuate da numeri di telefono non validi con un numero eccessivo di cifre.
Per approfondire le tecniche di distribuzione del malware utilizzate in generale, il phishing e l'ingegneria sociale sono standard. I metodi più diffusi includono download drive-by, allegati/link dannosi nello spam (ad esempio, e-mail, PM/DM, SMS, post sui social media, ecc.), truffe online, malvertising, programmi/media piratati, fonti di download sospette (ad esempio, siti di file-hosting freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), strumenti illegali di attivazione del software ("crack") e falsi aggiornamenti.
Alcuni programmi dannosi possono anche diffondersi autonomamente attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.). Il malware è spesso camuffato o fornito in bundle con contenuti ordinari.
Come evitare l'installazione di malware?
Raccomandiamo vivamente di effettuare ricerche sul software prima di scaricarlo/acquistarlo, leggendo le condizioni e le recensioni di esperti/utenti, controllando le autorizzazioni necessarie, verificando la legittimità dello sviluppatore, ecc. Tutti i download devono essere effettuati da fonti ufficiali e verificate. Inoltre, i software devono essere attivati e aggiornati utilizzando funzioni/strumenti legittimi, poiché quelli acquistati da terzi possono contenere malware.
Un'altra raccomandazione è quella di fare attenzione durante la navigazione, poiché i contenuti online fraudolenti e dannosi appaiono in genere autentici e innocui. Le e-mail e gli altri messaggi in arrivo devono essere affrontati con cautela. Gli allegati o i link presenti nelle e-mail dubbie/irrilevanti non devono essere aperti, perché possono essere virulenti.
Per la sicurezza del dispositivo/utente è essenziale che sia installato e aggiornato un antivirus affidabile. I programmi di sicurezza devono essere utilizzati per eseguire scansioni regolari del sistema e per rimuovere le minacce e i problemi rilevati.
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuare i siti Web che forniscono notifiche del browser, toccarli e fare clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware NoviSpy, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware NoviSpy può causare?
Le minacce legate a un'infezione dipendono dalle capacità del malware e dal modus operandi degli aggressori. NoviSpy è uno spyware che può spiare le vittime e rubare i loro dati.
In genere, software di questo tipo possono causare seri problemi di privacy, perdite finanziarie e furti di identità. Tuttavia, NoviSpy è stato utilizzato dalla Security Intelligence Agency (BIA) serba per colpire giornalisti e attivisti; pertanto, la portata di queste infezioni può avere conseguenze maggiori.
Qual è lo scopo del malware NoviSpy?
Le infezioni di NoviSpy sono state motivate da ragioni politiche e geopolitiche. Tuttavia, il malware viene utilizzato per vari scopi. La ragione più comune è il guadagno finanziario. Tra le altre motivazioni vi sono i criminali informatici che cercano di divertirsi o di realizzare rancori personali, l'interruzione di processi (ad esempio, siti web, servizi, aziende, ecc.) e l'hacktivismo.
Come si è infiltrato il malware NoviSpy nel mio dispositivo Android?
È noto che NoviSpy è stato introdotto direttamente in un dispositivo dopo la sua detenzione da parte della polizia serba. Un altro metodo di proliferazione sospetto è un exploit della vulnerabilità zero-click avviato da chiamate effettuate da numeri non validi con molte cifre.
Tuttavia, potrebbe essere diffuso con altre tecniche. Quelle ampiamente utilizzate includono fonti di download non affidabili (ad esempio, siti di hosting di file freeware e gratuiti, reti di condivisione Peer-to-Peer, app store di terze parti, ecc.), malvertising, posta indesiderata, truffe online, download drive-by, contenuti pirata, strumenti di attivazione del software illegali ("crack") e falsi aggiornamenti. Alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è progettato per scansionare i dispositivi e rimuovere tutti i tipi di minacce. È in grado di rilevare ed eliminare la maggior parte delle infezioni da malware conosciute. Ricordate che l'esecuzione di una scansione completa del sistema è fondamentale, poiché i software maligni più sofisticati di solito si nascondono in profondità nei sistemi.
Eccezionale!
▼ Mostra Discussione