Un nuovo malware chiamato GhostSpy sta mettendo in allarme i ricercatori di sicurezza per la capacità di prendere il controllo quasi totale degli smartphone Android che riesce a infettare. Non parliamo del solito trojan bancario che ruba qualche credenziale e sparisce. Qui la faccenda è più seria, perché il dispositivo compromesso finisce letteralmente nelle mani di chi lo gestisce da remoto, come se fosse lì davanti a manovrarlo.
Le analisi condotte da CYFIRMA descrivono un comportamento che va ben oltre il furto di dati tradizionale. Android, del resto, è il sistema operativo mobile più usato al mondo e questo lo rende il bersaglio preferito di chi crea software malevoli. Negli ultimi anni gli attaccanti hanno imparato a sfruttare funzioni perfettamente legittime del sistema, in particolare i servizi di accessibilità, quelli pensati per aiutare le persone con difficoltà a usare il telefono. Peccato che siano diventati anche una scorciatoia comoda per aggirare le protezioni senza dover cercare vulnerabilità complicate.
Come GhostSpy prende il comando dello smartphone
Tutto ruota attorno all’abuso dell’Android Accessibility Service. Il malware convince l’utente a concedere questo permesso con richieste che sembrano innocue, quasi banali, ma che in realtà spalancano la porta a un controllo davvero esteso del telefono. Una volta ottenuto il via libera, il codice può simulare tocchi sullo schermo, compilare moduli da solo, interagire con le app e persino autorizzare altri permessi senza che nessuno se ne accorga.
Il risultato è che gli attaccanti agiscono come se avessero fisicamente il dispositivo tra le mani, e senza bisogno di accesso root. In più GhostSpy porta con sé le funzioni tipiche di un Remote Access Trojan, quindi consente il controllo in tempo reale attraverso server di comando. Gli operatori possono vedere lo schermo, raccogliere dati, monitorare le notifiche e soprattutto intercettare i codici dell’autenticazione a due fattori. Questo mette a rischio anche gli account che si credevano al sicuro grazie ai sistemi di protezione più avanzati.
Come si diffonde e cosa si può fare per difendersi
Un aspetto interessante riguarda i meccanismi di autodifesa. Sempre sfruttando i permessi di accessibilità, GhostSpy riesce a impedire la propria disinstallazione, chiudendo le schermate di rimozione oppure simulando azioni che bloccano l’utente sul più bello. Ci sono poi tecniche di offuscamento e controlli anti analisi che rendono la vita difficile ai ricercatori che provano a studiarlo.
La diffusione passa quasi sempre dalle stesse strade. Applicazioni fraudolente, file APK scaricati da fonti non ufficiali e pagine web costruite per imitare aggiornamenti legittimi. Il punto decisivo, alla fine, resta uno solo: il consenso di chi usa il telefono. Senza l’autorizzazione ai servizi di accessibilità molte funzioni malevole non possono nemmeno partire.
Per abbassare il rischio le regole sono poche e chiare. Installare app solo da fonti affidabili, guardare con attenzione ai permessi richiesti prima di dire sì e controllare ogni tanto le autorizzazioni già concesse, giusto per vedere se qualcosa non torna. Strumenti come Google Play Protect danno una mano a intercettare comportamenti sospetti, mentre in ambito aziendale le soluzioni di Mobile Device Management permettono di individuare e bloccare le attività anomale prima che diventino un problema serio.