Come rimuovere il malware SpyLend dai dispositivi Android
Scitto da Tomas Meskauskas il
Che tipo di malware è SpyLend?
SpyLend è un programma dannoso che colpisce i dispositivi Android. Può essere utilizzato in vari modi, ma il suo uso principale è quello di funzionare come malware "SpyLoan".
Al momento in cui scriviamo, questo software funzionava come "SpyLoan" se installato su dispositivi situati in India. Offre agli utenti indiani prestiti predatori e utilizza tattiche di ingegneria sociale o di ricatto per spingerli a pagare. SpyLend è stato promosso attraverso il Google Play Store ed è stato scaricato oltre 100.000 volte.
Panoramica del malware SpyLend
SpyLend è stato osservato infiltrarsi nei dispositivi con il pretesto dell'applicazione "Finance Simplified". Nonostante le affermazioni contrarie, questa applicazione non è associata ad alcuna entità legittima.
Il malware determina innanzitutto su quale sistema operativo viene lanciato, il che suggerisce che questa campagna potrebbe essere rivolta anche agli iPhone. Al momento dell'installazione, SpyLend ottiene un'ampia gamma di autorizzazioni. Raccoglie informazioni sulle applicazioni installate, ad esempio il tipo (app di sistema o normale), i nomi dei pacchetti e delle app e la data di installazione.
Il programma dannoso raccoglie dati di geolocalizzazione a intervalli di tre secondi. Le informazioni possono essere abbastanza precise da determinare il paese, la regione/provincia, la città e persino il nome della strada. Può anche acquisire dati storici sulla posizione e l'indirizzo IP.
Inoltre, SpyLend ottiene le autorizzazioni per i contatti, le chiamate e gli SMS. È in grado di estrarre numerosi dettagli sui contatti, tra cui nomi, numeri di telefono, titoli di lavoro, reparti, aziende e altre informazioni disponibili. Raccoglie i registri delle chiamate e dettagli come la durata della chiamata, la data e la posizione.
Per quanto riguarda l'autorizzazione agli SMS, il malware può intercettare, aggiornare, eliminare e accedere al contenuto dei messaggi di testo. Si rivolge in particolare agli SMS associati a prestiti e altre operazioni finanziarie. Il malware può ottenere qualsiasi OTP (One-Time Password) e codici 2FA/MFA (Two/Multi-Factor Authentication) inviati via SMS.
SpyLend può accedere e scaricare file da archivi interni ed esterni (ad esempio, schede SD). Può esfiltrare documenti, foto e video. Anche il testo copiato negli appunti viene preso di mira e il programma può estrarre venti delle ultime voci presenti nel buffer del copia-incolla.
La funzionalità principale del malware dipende in larga misura da WebView, un componente che consente l'utilizzo di contenuti Web all'interno di un'applicazione. Sulla base di informazioni rilevanti (come la posizione), SpyLend recupera dati/impostazioni per creare l'interfaccia fraudolenta di un'app di servizi finanziari o di prestito (ad esempio, tipi di prestito, tassi di interesse, piani di rimborso, registri dell'attività dell'utente, ecc.)
Al momento della ricerca, SpyLend si rivolgeva agli utenti indiani. Al posto dell'interfaccia dell'app"Finance Simplified", una calcolatrice finanziaria, veniva presentata una richiesta di prestito che offriva prestiti facili e veloci con una documentazione minima e condizioni vantaggiose.
Le vittime di questo malware prendono in prestito denaro e sono costrette a restituirlo a tassi esorbitanti. Per spingerle a pagare vengono utilizzate tecniche di ingegneria sociale, estorsione e ricatto.
SpyLend cerca informazioni per costruire un profilo della vittima, ad esempio dati personali identificabili, attività finanziarie, storia dei prestiti, rimborsi, pagamenti in ritardo e così via. I dati possono essere utilizzati per ingannare/premere le vittime o per effettuare transazioni finanziarie senza la loro autorizzazione.
È stato riportato che SpyLend è stato utilizzato per minacciare le vittime che le loro foto sarebbero servite come base per nudi deepfake (modificati), che sarebbero poi stati inviati ai loro contatti se avessero rifiutato di pagare.
Va detto che il Paese/regione preso di mira o le tattiche utilizzate dai criminali informatici dietro questo malware possono cambiare. Vale anche la pena notare che il modo in cui SpyLend utilizza il suo elemento WebView - per presentare agli utenti una finestra (sito) "Upgrade Now" - può essere utilizzato per installare aggiornamenti per questo malware o altri software dannosi.
Questo componente consente anche l'iniezione di codice dannoso, nel qual caso il programma può modificare il funzionamento del contenuto visualizzato, ad esempio il processo di "aggiornamento" o funzionare come sito web di phishing (registrando i dati forniti, come informazioni di identificazione personale, credenziali di accesso, numeri di carta di credito, ecc.)
In sintesi, la presenza di software come SpyLend sui dispositivi può portare a molteplici infezioni del sistema, gravi problemi di privacy, perdite finanziarie e furto di identità.
| Nome | SpyLend virus |
| Tipo di minaccia | Malware Android, applicazione dannosa, applicazione SpyLoan. |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza l'autorizzazione dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffaldini. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware specifici per Android
Abbiamo scritto di numerosi programmi dannosi; MoneyMonger - è un esempio di software che opera come SpyLoan, mentre Marcher, NativeWorm, SparkCat, G700 - sono solo alcuni dei nostri articoli più recenti sul malware che ha come obiettivo Android.
Il software dannoso può avere diverse funzionalità o essere progettato per uno scopo incredibilmente specifico. Tuttavia, indipendentemente dal modo in cui il malware opera, la sua presenza in un sistema mette a rischio l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il rilevamento.
Come si è infiltrato SpyLend nel mio dispositivo?
SpyLend è stato approvato attraverso il Google Play Store, ma il malware stesso è stato scaricato da una fonte di terze parti a cui gli utenti sono stati reindirizzati. Questo programma dannoso era mascherato da un'applicazione denominata"Finance Simplified". La stessa infrastruttura è stata utilizzata per approvare applicazioni con i nomi di "Fairbalance", "KreditApple", "KreditPro", "MoneyAPE", "PokketMe" e "StashFur".
Questo malware è stato successivamente rimosso dal Play Store. Tenete presente che SpyLend potrebbe indossare altre vesti ed essere distribuito con metodi diversi.
In genere, il software dannoso viene diffuso utilizzando tecniche di phishing e di social engineering. Il malware viene spesso camuffato o fornito in bundle con programmi/media ordinari.
I metodi più diffusi sono: download drive-by (furtivi/ingannevoli), fonti di download non affidabili (ad esempio, siti web di hosting di file freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), truffe online, allegati/link dannosi nello spam (ad esempio, e-mail, PM/DM, SMS, post sui social media, ecc.), malvertising, strumenti illegali di attivazione del software ("crack") e falsi aggiornamenti.
Alcuni programmi dannosi possono auto-proliferare attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
Come evitare l'installazione di malware?
Raccomandiamo vivamente di effettuare ricerche sul software prima di scaricarlo o acquistarlo, leggendo le condizioni e le recensioni di esperti/utenti, controllando le autorizzazioni necessarie e verificando la legittimità dello sviluppatore. Tutti i download devono essere effettuati da canali ufficiali e verificati. I programmi devono essere attivati e aggiornati utilizzando funzioni/strumenti legittimi, poiché quelli ottenuti da terzi possono contenere malware.
Inoltre, si consiglia di prestare attenzione durante la navigazione, poiché i contenuti online falsi e pericolosi di solito appaiono autentici e innocui. La posta in arrivo deve essere affrontata con attenzione. Gli allegati o i link presenti nelle e-mail/messaggi sospetti non devono essere aperti, perché possono essere infettivi.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere le minacce/i problemi.
SpyLend presenta interfacce diverse a seconda della geolocalizzazione della vittima (fonte immagine - CYFIRMA):
WebView "Upgrade Now" del malware SpyLend (sito web promosso):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio computer è stato infettato dal malware SpyLend, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware SpyLend può causare?
Le minacce poste dal malware dipendono dalle sue capacità e dagli obiettivi degli aggressori. SpyLend può rubare dati sensibili ed è stato utilizzato come applicazione di prestito predatorio che utilizza tattiche di ricatto/estorsione per estorcere denaro alle vittime. Questo malware può causare infezioni multiple del sistema, gravi problemi di privacy, perdite finanziarie e furto di identità.
Qual è lo scopo del malware SpyLend?
Il malware viene utilizzato principalmente a scopo di lucro. Tra le altre possibili ragioni, gli aggressori cercano di divertirsi o di realizzare vendette personali, di interrompere processi (ad esempio, siti web, servizi, ecc.), di impegnarsi nell'hacktivismo e di lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware SpyLend nel mio computer?
SpyLend è stato diffuso tramite il Google Play Store. Nel frattempo è stato rimosso, ma potrebbe essere ricaricato o proliferare con altri metodi.
In genere, il malware viene distribuito principalmente attraverso download drive-by, truffe online, malvertising, e-mail/messaggi di spam, canali di download dubbi (ad esempio, siti di hosting di file freeware e gratuiti, reti di condivisione P2P, app store di terze parti e così via), strumenti di attivazione del software illegali ("cracks") e falsi aggiornamenti. Alcuni programmi dannosi possono diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è in grado di rilevare e rimuovere la maggior parte delle infezioni da malware conosciute. Tenete presente che l'esecuzione di una scansione completa del sistema è essenziale, poiché il software dannoso di alto livello si nasconde solitamente nelle profondità dei sistemi.
Eccezionale!
▼ Mostra Discussione