Il team Android Security di Google ha scoperto un nuovo spyware, denominato Lipizzan, durante le indagini relative ad malware simile (Chrysaor). Gli esperti dell’azienda di Mountain View hanno rilevato nel codice diversi riferimenti ad una cyber arms company (Equus Technologies), ritenuti quindi gli autori dello spyware. Tutte le app infette sono state immediatamente rimosse dal Google Play Store.
Lipizzan è uno spyware multi-stage in grado di monitorare ed estrarre diverse informazioni sensibili, come email, SMS, posizione geografica, chiamate vocali e contenuti multimediali. Il malware, distribuito attraverso diversi canali, incluso il Google Play Store, si nasconde all’interno di app apparentemente innocue, come quelle per il backup o la pulizia del sistema operativo. In realtà effettua il root del dispositivo mobile, sfruttando exploit pubblici, e invia ad un server remoto i dati dell’utente. Lipizzan può registrare chiamate vocale e VoIP, monitorare la posizione, scattare screenshot e foto con la fotocamera, recuperare informazioni sul dispositivo, SMS, contatti e log delle chiamate.
Lo spyware può inoltre rubare i dati da almeno 12 app: Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber e WhatsApp. Google ha eliminato tutte le app, ma poco dopo sono apparse sullo store altre app indicate come “notepad”, “sound recorder” o “alarm manager”. Anche queste app sono state individuate e rimosse. Il numero di dispositivi colpiti non è elevata (circa 100), ma l’azienda di Mountain View ha evitato una maggiore diffusione del malware.
Ciò è stato possibile grazie al controllo di sicurezza eseguito da Google Play Protect che mostra avvisi su qualsiasi app potenzialmente dannosa e rimuove quelle già presenti sul dispositivo mobile. Google suggerisce di aggiornare Android, installando le ultime patch di sicurezza, e di evitare il download di app da fonti sconosciute.