In Italia è stata identificata una complessa campagna di phishing mirata ai dispositivi Android e camuffata da applicazione dell'INPS. Il malware SpyNote viene veicolato tramite un falso sito che offre per il download un'applicazione chiamata “INPS Mobile”, progettata per ingannare le vittime facendo leva su loghi simili a quelli ufficiali.
CERT-AGID, grazie alla segnalazione di D3lab, ha prontamente identificato la minaccia, la quale utilizza una messa in scena molto accurata: la homepage del sito propone una guida dettagliata per scaricare e installare la falsa app. Gli utenti che seguono le istruzioni si ritrovano a scaricare un file APK che, una volta installato, richiede aggiornamenti e permessi specifici, pur mostrando la pagina ufficiale dell’INPS, mascherando così il vero intento malevolo.
L'app, una volta installata, prosegue con l'installazione automatica di un APK contenente SpyNote, sfruttando tecniche avanzate per bypassare le difese, come il camuffamento nell’elenco delle applicazioni. Le tecniche invasive adottate da SpyNote comprendono il rilevamento della posizione, la registrazione delle digitazioni (keylogging), l’intercettazione di SMS, il furto di credenziali e dati delle carte di credito, la cattura di screenshot e la registrazione delle chiamate.
Il controllo di dispositivi compromessi e il furto di dati sensibili, finalizzato alla spionaggio, è aggravato dalla possibilità di installare ulteriori payload e stabilire una connessione con server di comando e controllo (C2), i quali gestiscono le comunicazioni col dispositivo infetto.
In considerazione della gravità e dell'astuzia di questa campagna, è essenziale mantenere un alto livello di attenzione e assicurarsi di scaricare applicazioni solo da fonti ufficiali come gli app store autorizzati o direttamente dalle pagine istituzionali, al fine di proteggere la propria sicurezza digitale.