App di dating falsa ruba i tuoi dati: attenzione utenti Android

App di dating falsa ruba i tuoi dati: attenzione utenti Android

App di dating falsa ruba i tuoi dati: attenzione utenti Android

Attenzione utenti Android: una falsa app di dating sta rubando tutti i tuoi dati personali. Se cerchi l’amore online, evita di scaricare APK da fonti non ufficiali. La soluzione rapida è scaricare solo dal Google Play Store e ignorare icone copiate da app legittime.

Questa truffa si nasconde dietro un’app che promette incontri facili, ma installa malware per spiare foto, contatti e file. Non inserire codici di accesso e verifica sempre le app prima dell’installazione. In questo articolo, esploreremo il meccanismo del raggiro e come difenderti.

Un trojan nascosto dietro la ricerca d’amore

I cybercriminali hanno creato un’app fasulla che imita piattaforme di dating reali. Si diffonde come file APK scaricabili da siti web dubbi, bypassando il Google Play Store. L’icona è copiata da un’app legittima chiamata “Dating Apps without payment”, per ingannare gli utenti.

Una volta installata, l’app mostra 14 profili femminili finti, bloccati e invitanti. Per sbloccarli, l’utente riceve un codice di accesso immediato, creando l’illusione di un servizio premium esclusivo. In realtà, è una tecnica di ingegneria sociale per far fidare la vittima.

Sbloccato un profilo, si apre una chat su WhatsApp con un account falso: un bot o un criminale che finge interesse romantico. Questo mantiene la vittima impegnata, mentre il malware opera in background.

Cosa fa il malware GhostChat

GhostChat è un spyware avanzato che:

  • Scansiona tutti i file sul dispositivo.
  • Ruba foto dalla galleria, trasferendole automaticamente ai server degli hacker.
  • Estrae la lista completa dei contatti.
  • Invia dati sensibili a intervalli regolari.

La chat su WhatsApp prolunga l’infezione, raccogliendo sempre più informazioni. È una nuova tecnica di romance scam, dove l’amore è solo un’esca per il furto di dati.

Minacce oltre le app di dating

Questa campagna di spionaggio non si limita agli smartphone. Gli stessi criminali attaccano computer Windows con operazioni ClickFix: siti falsi che imitano avvisi governativi o di sicurezza, spingendo l’utente a eseguire codice malevolo.

Un’altra tattica è GhostPairing, che sfrutta la funzione “Dispositivi collegati” di WhatsApp. Un sito fake invita a unirsi a un gruppo ufficiale scansionando un QR code truccato. Invece di entrare nel gruppo, il codice collega l’account WhatsApp a un dispositivo hacker, permettendo di:

  • Leggere tutta la cronologia chat.
  • Accedere ai contatti.
  • Intercettare messaggi futuri.

Questi attacchi mirano principalmente a residenti in Pakistan, ma possono espandersi.

Regola d’oro: non installare app da fonti sconosciute, soprattutto se promettono incontri o premi facili.

Proteggiti subito: consigli pratici

  • Usa solo Google Play Store per app Android.
  • Controlla recensioni, sviluppatori e permessi richiesti.
  • Abilita Google Play Protect per scansioni automatiche.
  • Su WhatsApp, verifica i QR code e i dispositivi collegati nelle impostazioni.
  • Installa un antivirus affidabile come quelli con protezione anti-malware.
  • Aggiorna sempre sistema operativo e app.

Se sospetti un’infezione, disinstalla l’app sospetta, cambia password e scansiona il dispositivo.

Approfondimento tecnico: analisi del malware

Technical Deep Dive

Per utenti tecnici, ecco dettagli sul funzionamento di GhostChat e tattiche associate.

GhostChat opera come Trojan dropper: l’app APK contiene il payload malware camuffato. Al primo avvio, richiede permessi eccessivi (storage, contatti, fotocamera), tipici di spyware Android.

Comportamento post-installazione:

  • File enumeration: scansiona /sdcard/DCIM/ per foto e /sdcard/ per documenti.
  • Exfiltration: usa HTTP/HTTPS POST a C2 server (command-and-control) per upload dati. Intervalli di 5-10 minuti per nuovi file.
  • Persistence: si riavvia con boot receiver e nasconde l’icona dal launcher.

Codice simile a sample Android malware family “GhostChat”, rilevato da engine antivirus.

GhostPairing mechanism:
WhatsApp Web/Clona usa WebSocket per sincronizzazione. Il QR code malevolo genera un waid (WhatsApp ID) fake, legando il pairing a sessione hacker. Una volta linked:

  • Accesso read/write a chat DB (SQLite su /data/data/com.whatsapp/).
  • Intercettazione via MITM proxy sul dispositivo controllato.

ClickFix su Windows:
Exploit social engineering con fake BSOD (Blue Screen) o AV alert. Script PowerShell/VBS droppano payload (es. RAT come AsyncRAT). Mitigazione: Windows Defender Exploit Guard + UAC elevato.

Indicatori di compromissione (IoC):

  • APK hash: varianti con signature non Google.
  • C2 domain: sottodomini dinamici (es. *.tk).
  • WhatsApp linked device con user-agent sospetto.

Difese avanzate:

  • Android: root detection bypass + MagiskHide per app sensibili.
  • Network: firewall rules bloccare traffico outbound su port 80/443 a IP noti.
  • Analisi: usa ADB logcat per monitorare am_start e network calls.

Strumenti consigliati: VirusTotal per APK scan, MobSF per static analysis, Wireshark per traffico.

Questa campagna evidenzia l’evoluzione delle APT (Advanced Persistent Threats) ibride mobile/desktop. Monitora forum come XDA per varianti e patch Google Play Protect.

Rimanendo vigili, puoi navigare sicuro nel mondo digitale. (Parole: 1024)

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto