Sommario
Gli utenti Android israeliani sono stati presi di mira da una versione malevola dell’app “RedAlert – Rocket Alerts”. Sebbene offra la funzionalità promessa, agisce come spyware in background.
RedAlert – Rocket Alerts: un’app legittima
“RedAlert – Rocket Alerts” è un’app open-source legittima utilizzata dai cittadini israeliani per ricevere notifiche di razzi in arrivo diretti al paese. L’app è molto popolare, con oltre un milione di download. Dopo l’attacco lanciato dai terroristi di Hamas nel sud di Israele la scorsa settimana, l’interesse per l’app è esploso, poiché le persone cercavano avvisi tempestivi su attacchi aerei nella loro zona.
Una versione malevola in circolazione
Secondo Cloudflare, hacker di motivazione e origine sconosciute stanno sfruttando l’interesse elevato per l’app e la paura degli attacchi per distribuire una versione falsa che installa spyware. Questa versione malevola viene distribuita dal sito “redalerts[.]me”, creato il 12 ottobre 2023. Il sito offre download per iOS e Android. Mentre il download per iOS reindirizza l’utente alla pagina legittima dell’App Store di Apple, il pulsante Android scarica direttamente un file APK da installare sul dispositivo.
Allerta spyware
L’APK scaricato utilizza il codice legittimo della vera app RedAlert, quindi contiene tutta la funzionalità regolare e appare come uno strumento legittimo di allerta razzo. Tuttavia, Cloudflare ha scoperto che l’applicazione richiede ulteriori permessi, tra cui l’accesso ai contatti dell’utente, numeri, contenuto SMS, lista di software installati, registro delle chiamate, IMEI del telefono, email e account dell’app. Al suo avvio, l’app avvia un servizio in background che abusa di questi permessi per raccogliere dati, cifrarli con AES in modalità CBC e caricarli su un indirizzo IP predefinito.
Consigli per la sicurezza con RedAlert
Il sito falso è offline al momento della scrittura di questo articolo. Tuttavia, è probabile che gli attori della minaccia si spostino su un nuovo dominio dopo l’esposizione della loro operazione. Un modo semplice per distinguere tra le versioni reali e quelle alterate è esaminare i permessi che l’app richiede durante l’installazione o a cui ha accesso nel caso sia già installata sul dispositivo. Per controllare, basta premere a lungo l’icona dell’app, selezionare “Informazioni sull’app” e toccare “Permessi”. Inoltre, ci sono stati casi segnalati di dirottamenti sull’app reale RedAlert, con hacktivists che sfruttano le falle dell’API per inviare false notifiche agli utenti.
